クラウド選びのポイントはセキュリティ、AWSは何が優れているのか

利便性やコストだけでクラウドを選んではならない。セキュリティ向上にどの程度役立つのかを調べる必要がある。AWSのセキュリティについてCEOが語った。

[Matt Kapko，Cybersecurity Dive]

　企業がクラウドに移行する理由は、効率性やコスト管理、機動性などさまざまだ。セキュリティをクラウドサービスプロバイダーの選択基準として考えていないユーザーは勘違いしている。実際にAmazon Web Services（AWS）は、見込み客を獲得するのに役立つ属性だと述べている。

なぜAWSはセキュリティに注力するのか

　AWSのCEOのアダム・セリプスキー氏は、2022年11月29日、「AWS re:Invent」（2022年11月28〜12月2日開催）の基調講演に登壇した。そこでは、AWSで顧客が実行するアプリケーションとデータのセキュリティは、顧客のオンプレミスのインフラや他のクラウドよりも「実質的に優れている」と語った。

　「安全性とセキュリティ、データとアプリケーションの保護は、多くの企業が進めているデジタル変革に必要な信頼性の前提条件だ」（セリプスキー氏）

　AWSの安全性を支える要素は複数あるという。

　1つ目は、AWSのインフラやサービスの設計や管理に関わる基盤の部分だ。このインフラは常に監視されており、「耐障害性を向上させるためのフォールトアイソレーション機能を提供し、AWSネットワークを流れる全てのデータを安全な施設から出る前に暗号化できるようにしている」と同氏は言う。

　加えて、企業がアプリケーションやサービスのコードを書く開発段階にもAWSのセキュリティが織り込まれていると、セリプスキー氏は説明する。

　「（アプリケーションの）ビルダーはもはやセキュリティとスピードをトレードオフの関係にある必要はない。AWSではセキュアに構築することが最も抵抗の少ない道だ」（セリプスキー氏）

セキュリティ向上に役立つサービスを多数提供

　2つ目は、同社が構築したクラウドセキュリティ製品と機能を通じて、企業がアプリケーションの脆弱（ぜいじゃく）性や脅威を特定、修復、除去できるようにしていることだ。

　これには、自動セキュリティチェックと脆弱性管理、データの発見と保護、マネージドDDoS保護サービス、マネージド型脅威検出サービス「Amazon GuardDuty」が含まれている。

　「セキュリティに関する学習とユーザーからのフィードバックを基に、検知困難な脅威をインテリジェントかつ継続的に監視して特定する機械学習モデルを構築した。多くの場合、他のセキュリティ製品よりもはるかに迅速に対応できる」（セリプスキー氏）

　AWSは2022年初め、Amazon GuardDutyの対象範囲を拡大して、管理されたKubernetes（コンテナ化されたアプリケーションシステムの一つ）環境内の脅威を検知するように改善した。今回の発表ではさらにコンテナランタイム脅威検知にも拡大する。

　この機能は、ファイルアクセスやプロセスの実行、ネットワーク接続など、OSレベルの挙動を監視することで、コンテナ内で動作するソフトウェアからの脅威を検知するものだ。

　「基礎となる計算ノードにアクセスしてインスタンスの認証情報を取得する試みを検出したり、悪意のある脅威アクターのコマンド＆コントロールサーバと通信しようとしたりするコンテナを特定できる」（セリプスキー氏）

　このような具体性の高さは、専門性を発揮できる組み込み型のセキュリティ制御を提供するという同社の戦略を象徴している。この戦略では、サードパーティーベンダーがAWSの顧客に対して、個別のニーズを満たすサービスを販売する余地も残されている。

　「AWS Marketplace」には、アプリケーションセキュリティやデータ保護、境界保護、コンプライアンス、アイデンティティーとアクセス制御のためのものなど、何千もの製品がAWSに統合されている。

　「企業は通常、これらのサービスやツールを幅広く採用し、セキュリティ態勢の向上に役立てている」（セリプスキー氏）

出典：AWS CEO stresses the core elements of cloud security（Cybersecurity Dive）