[前回] AWS公式資料で挑むSCS認定(1)-計画を立てる
はじめに
カーリング女子のチーム力、憧れますね。
声を掛け合う、ミスしても激励し合う、信頼関係があってからこそでしょうか。
笑いながら試合を楽しむ姿に心が和みます、「そだねー」も聞けてよかったです。
試験準備の作戦は「森から木へ」
対象サービスが多岐にわたるので、「森から木へ」準備を進めようと思います。
- 森は、全体像のことで、セキュリティの原則やAWSのセキュリティ戦略を押さえる
- 木は、細部のことで、個々のサービスやツールの機能、それぞれの違いを押さえる
「森」セキュリティの一般論
情報セキュリティの3原則
Wikipediaから、CIAの定義(米中央情報局のことではありません)
- 機密性(Confidentiality)
- 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
- 自己解釈: 情報を関係者以外にアクセスさせない
- 完全性(Integrity)
- 情報が破壊、改ざん又は消去されていない状態を確保すること
- 自己解釈: 情報を関係者以外に変更・削除させない
- 可用性(Availability)
- 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること
- 自己解釈: 情報を関係者が必要時に使えるようにする
更に四つ加えた7原則も存在するようです
- 真正性(authenticity)
- ある主体又は資源が、主張どおりであることを確実にする特性。
- 自己解釈: 情報を操作しているのが本人であっているか(なりすましではないか)
- 責任追跡性(accountability)
- あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できる事を確実にする特性。
- 自己解釈: 情報をいつ、だれが、どのように操作したか履歴を辿れるようにする
- 否認防止(non-repudiation)
- ある活動又は事象が起きたことを、後になって否認されないように証明する能力
- 自己解釈: 情報を操作した人が後になって「おれはやってないっすよ」と言わせない
- 信頼性(reliability)
- 意図した動作及び結果に一致する特性
- 自己解釈: 情報への操作が期待通りの結果となる(故障やバグにより間違った結果にならない)
最小権限の原則
Wikipediaから、
「最小権限の原則とは、情報セキュリティや計算機科学などの分野において、コンピューティング環境の特定の抽象化レイヤー内で全てのモジュール(主題によっては、プロセス、ユーザー、プログラム)がその正当な目的に必要とされる情報と計算資源のみにアクセスできるように制限する設計原則である」
ようは、アクセス制御における権限設定は、必要最小限に留めておきましょう、とのことです。例えば、ネットワーク通信におけるポート番号設定は、実際使用するポート番号以外をすべて禁止する。
AWSのセキュリティ戦略はどうよ
AWSクラウドの戦略的なセキュリティに、以下方針4点が記載されていました。
- 防止
- 計画済みAWSをスムーズに導入するために、ユーザーのアクセス許可とID、インフラストラクチャ保護、データ保護対策を定義します。
- 自己解釈: 不正アクセスを防止する、データを保護する
- 検出
- ロギングとモニタリングサービスを使用して、組織のセキュリティ状況を可視化します。これらの情報を、イベント管理、テスト、監査のためのスケーラブルなプラットフォームに取り込みます。
- 自己解釈: アクセスログを監視する、不正アクセスを検出する
- 対応
- 自動化したインシデント対応と復旧で、セキュリティチームの主な焦点を対応から根本原因の分析に移行できます。
- 自己解釈: インシデント発生したら、迅速に原因分析し対策を立て、事業継続を図る
- 修復
- イベント駆動型の自動化を活用して、AWS環境をほぼリアルタイムで迅速に修復および保護します。
- 自己解釈: サイバー攻撃などによりシステムやデータが破壊されても、迅速に復旧可能に
つまり、AWSが提供する様々なセキュリティ関連サービスやツールは、上記方針のいずれかを実現するために実装された手段に過ぎないとのことでしょうか。
試験準備の全過程において、常に上記方針に立ち返って、関連サービスやツールの目的や機能を理解したほうがよさそうです。
「木」はどうする?
下記順で勉強進めようと思います。
- 試験対象のサービスと機能
- 試験対象のツール・テクノロジー・概念
- 推奨されるAWSに関する知識
おわりに
「森から木へ」と試験準備の作戦を立て、「森」の全体像を確認しました。
次回から、「木」の細部を順序良く通してみようと思います。
お楽しみに。