パブリッククラウドのセキュリティについて
エンタープライズのお客様から、
「現在オンプレ環境でシステムを運用しており、パブリッククラウドの移行も検討しているが躊躇している。最大の理由はセキュリティ上の不安」
という声をよく聞きます。私もそうでした。たしかに、マイナンバーみたいな機微な情報がクラウド上に置かれて大丈夫なのか?・・・と言われれば外出しすることが心もとなくなる気持ちもわかります。
しかし、昨今、AWSのトレーニング(ASA、SysOps、DevOps)を受けて考え方が変わりました。パブリッククラウドは本当に危ないのでしょうか?
AWS上で高いセキュリティを維持している金融系の事業者様もいらしゃいます。一方でがちがちのオンプレ環境でも機密情報が流出する事例が後をたちません。"パブリッククラウドかオンプレか"の二元論ではなく"やりかた"の問題であると思います。つまるところ、セキュリティレベルは使い方(システム設計とそれを運用する人)次第で高くも低くもなります。
New Relicの場合
New RelicはSaaS型の監視サービスです。監視対象サーバー上のエージェントから、パブリックネットワーク上にあるNew Relicサーバ宛にアプリケーションやSQL文等の情報が送信されます。このときサーバとNew Relicサーバ間の通信経路は443ポートで秘匿されています。通信経路上での盗聴・改ざんのリスクは低いと考えられます。問題は安全な経路を使って機密データをNew Relicサーバに送信しうることです。
New Relicのハイセキュリティモード
この問題に対し、機密データを New Relic へ送信されないことを保証するためのハイセキュリティモードが有償版では使用できます。エージェントからも管理画面からも設定することができます。ハイセキュリティモードにすると下記が設定されます。
- HTTP パラメーターのキャプチャの防止
- メッセージキューのパラメーターのキャプチャの防止
- 生の SQL文 のキャプチャの防止
- ユーザー属性のキャプチャの防止
- カスタムイベントの防止
設定方法などは下記から。
High security mode
機会があれば検証してみたいと思います。
以上