5
1

More than 1 year has passed since last update.

NASDAQの発表をもとに、AWSセキュリティを考える

Last updated at Posted at 2021-12-11

Ambassadorアドベントカレンダー12日目です!

去年はDevOps Guruについて書いたのですが、技術者向けな内容でした。
今年は志向を変えて、ユーザーやセールス向けの記事を書いてみたいと思います。

NASDAQがAWSにくるー

個人的に、今回のre:Inventでもっとも印象に残る発表でした。
以前、イベントでブースに立っていたときに、「AWSについて説明してください」と言われて頑張って説明したのちに、「せっかくですが、自分、金融なんでクラウド使う気ないんですけどね」と嘲笑して去っていったあの人は何を思うのか。

何故、NASDAQはAWSを選んだのだろうか

ケーススタディでは、Amazon RedshiftAmazon S3の性能や可用性(これもセキュリティの一部ですが)にフォーカスされています。
もちろん、これらのサービスはすばらしく、選定のキーになったことは事実と思います。

個人的には、これに加え、AWS Outpostsの存在も大きいと考えています。AWS Outpostsを端的に説明すると、自身のサーバーラック上にAWSサービスを構築できるといったものです。
証券取引処理という、非常に高いパフォーマンスの求められるシステムにおいて、AWSのデータセンターまでのトラフィックを気にしなくて済むAWS Outpostsは、今回の選定に大きな影響を与えたと思います。
AWS Outpostsについては、発表後、対応サービスも増やし続けている上、ラック上の1、2ユニットに格納できるような拡充もされています。PCI DSSやFISCなど、あらゆる
AWS Outpostsは、あらゆる環境において「オンプレミスでなければいけない」という制約を取っ払う存在ではないでしょうか。

クラウドのセキュリティって安全なの?

小型版が出たとはいえAWS Outpostsは、ある程度の規模以上向けの選択肢です。
そうでない環境において、AWSはセキュリティ上、安全といえるのでしょうか?
僕が答えるならば、「正しく使えば安全です」になります。
責任共有モデルにおいて、カスタマー領域で適切なセキュリティ対策をしなければ、危険にさらされます。
これは、クラウドに限らずです。
ただ、アクセスキーを流出させたことにより、マイニングのために世界各国のリージョンに大量の高価なインスタンスを大量に立ち上げられるような事象は、オンプレでは発生しませんでした。この点では、慎重に取り扱う必要があります。
General-Shared-Responsibility-Model-on-AWS.jpeg

一方、AWS領域においては、一般的にはセキュアになると考えます。
情報セキュリティの三大要素「可用性」「機密性」「完全性」を、AWSは非常に高レベルで提供します。
当然、自前で構築することも論理的には可能ですが、設備投資、人的リソース、運用、あらゆる面でかかるコストを考えると、同一レベルを自前構築できるところは、極々わずかです。
何を持って高レベルなのかは、AWSが所有するコンプライアンスプログラムの要項を参照いただければと思います。
例えば、自社でPCI DSS認証を得る場合、オンプレミス環境で取る場合であれば、物理レイヤーについても監査を受ける必要があります。しかし、AWSであれば、AWS側のAOCを提出することでOKになります。

さらに、AWSでは、マネージドサービスの進化がすごいです。
マネージドサービスの利用により、責任共有モデルのカスタマー領域はさらに縮小します。
Shared-Responsibility-by-Service-Type.png
当然、環境としての自由度はIaaSに軍配が上がるため、何でもかんでもマネージドサービスには向かないですが、可能であればマネージドサービスにすることで、AWSが提供するセキュリティレベルを享受できる領域が広がります。

まとめ

NASDAQの事例は、今後の日本でのクラウド拡大においてもいいニュースだと思っています。
この発表は、とくに目新しい機能発表ではないです。これまでも時間さえいただければ説明できたAWSのセキュリティの範囲内です。
しかし、これまでクラウドは門前払いだった方々にも、「あのNASDAQさんも採用されましたよ」と言えば、刺さる要素になるかと思っています。

これを機に、国内でのクラウド導入が加速することを願ってます。

参照

https://aws.amazon.com/jp/blogs/news/applying-the-aws-shared-responsibility-model-to-your-gxp-solution/
https://www.nasdaq.com/Nasdaq-AWS-cloud-announcement

5
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
5
1