検索
特集

なぜAWSのセキュリティレベルは不当な評価を受けるのか

AWSのクラウドは、セキュリティレベルを非難されることが多い。しかしAWSは意図的に、競合他社のようにセキュリティを強調したり、情報を共有したりしていないという。その理由は。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 Amazon Web Services(AWS)は、クラウドの普及が進む中で同業を圧倒し、IT業界の注目を集めながら快進撃を続けている。しかし、MicrosoftやGoogleとは異なり、AWSはクラウドセキュリティにスポットライトを当てていないという。

 「AWSはセキュリティを優先していない」と非難をされることが多いが、そのような状況を生み出す理由とは。

専門家によるAWSのセキュリティレベルの評価は?

 セキュリティ研究者やアナリストによれば、AWSが競合他社に比べてセキュリティが低かったり、サイバーセキュリティへの投資で劣っていたりするわけではない。しかし、「Microsoft Azure」や「Google Cloud」に比べて、「サイバーセキュリティコミュニティーと洞察を共有することに積極的ではない」という見方がある。

 AWSのセキュリティメッセージは、利用者とAWSで責任範囲を明確にする「責任共有モデル」に依存している。AWSはクラウドのセキュリティを管理することを約束し、顧客はクラウド内のセキュリティの確保を約束する。

 同社は主に、AWS製品に関連する研究や脅威インテリジェンス、脆弱(ぜいじゃく)性、リスク評価などを共有している。セキュリティ勧告を含むその公開情報は、何よりも顧客のためになる(注1)。

 また、AWSはサイバーセキュリティ・インフラストラクチャセキュリティ庁の諮問委員会に参加し、セキュリティガバナンスの形成に貢献している(注2)。

 クラウド大手のAWSは、サイバーセキュリティコミュニティーで積極的にその役割を果たしているが、Cybersecurity Diveが取材した約12人の専門家やアナリストの間では、「その活動については沈黙を守っている」というのが一般的な見方だ。

 Dell'Oro Groupのマウリシオ・サンチェス氏(ネットワークセキュリティ部門 リサーチディレクター)によれば、クラウド大手3社がサイバーセキュリティをどのように認識しているかは、ビジネス哲学の違いに起因しているという。

 「MicrosoftやGoogleがセキュリティをビジネスの優先事項とするのに対して、AWSはセキュリティ面で競争しないほうが収益につながるという方針を採った」と同氏は電子メールで述べている。

 サイバーセキュリティコミュニティーの議論やセキュリティ情報共有の場にどのように参加しているかについてCybersecurity Diveはコメントを求めたが、AWSはそれを拒否した。

AWSのセキュリティが評価されづらい理由

 AWSはAmazonの重要な立ち位置を占めている。クラウド部門はAmazonの純売上高の16%に過ぎないが、Amazonが利益を上げ続けている理由はそこにある。2022年9月30日までの第3四半期で、Amazonの北米と海外における大規模なセグメントが赤字であり、同社が黒字になったのはAWSが唯一の要因だった(注3)。

 Synergy Research Groupのジョン・ディンズデール氏(チーフアナリスト)によれば、AWSとMicrosoft、Googleは世界クラウド市場の3分の2を占めているが、AWSは市場の34%を支配し、他の2つのハイパースケーラーを合わせたものよりも多くの比重を占めている(注4)。Microsoft Azureはパブリッククラウド市場の21%を占めており、Google Cloudの11%がそれに続く。

 「AWSはセキュリティのオピニオンリーダーになろうとはしていない」とSymmetry Systemsのクロード・マンディ氏(データセキュリティ担当チーフエバンジェリスト)は語る。

 「AWSはクラウドの思想的リーダーであり、真のリーダーだ。彼らは、クラウドサービスプロバイダーのリーディングカンパニーと同義でありたいと考えている」(マンディ氏)

 市場調査会社は、AWSを世界のクラウドセキュリティ市場の重要なプレーヤーとして挙げているが、そのセキュリティ事業の規模はほとんど知られていない。Amazonは、財務報告書や証券取引委員会への提出書類で、セキュリティ関連の売り上げを明らかにしていない。

 AWSの直近の決算説明会でセキュリティについて一度だけ言及された。

 「残念ながら、サイバーセキュリティの世界では、実質よりも認識が重要視されることが多いため、AWSは不当に非難されることがある。それは、MicrosoftやGoogleのようにクラウドセキュリティソリューションの市場投入や収益化をしていないためだ」とサンチェス氏は説明する。

© Industry Dive. All rights reserved.

ページトップに戻る