amareloのブログ(仮)

IT系勉強会で感じた想いや知見をメインに書いていきます。

AWSではじめるクラウドセキュリティ 読後レポート

AWS 読書感想

目次

はじめに

AWSではじめるクラウドセキュリティ」を購入して読みましたので、読後レポートを書こうと思います。 この書籍はAWS社の職員の方々が執筆した書籍ですが、AWSに特化した記述だけでなく、 情報セキュリティとは何か、セキュリティを守るための組織の在り方が示されていました。

これまでの知識の見直しになったのと同時に一方、現状不十分 or できていないこともあり、 セキュリティ担当者の方でもセキュリティの学びと実践には終わりはないことを再認識しました。

以下自分が学びと感じた点と所感を書いていきます。 第3部(第10章と11章)のハンズオンは、執筆時点でまだハンズオン完了していないため、第1部と2部が対象となります(完了次第別記事で気づきや学びを書いていこうと思います)。

明らかな誤認識などがありましたら、ご指摘いただけますと幸いです。

なお、本記事については私個人の見解であり、組織を代表するものではありません。

セキュリティはサービスの中心ではない

第1章からの引用です。 確かにどんなサービスも、セキュリティが主役ではなく、ユーザがサービスに対して感じる価値もセキュリティではありません。 書籍でも書かれているような、知識やスキル不足、負荷とそこに対するリソース配分が課題になっているからだと思いますが、 ここに気付いておきながら、手間を増やしてしまう(or 本来不要なことをやり続けている)ことは結構あるんではないかと思いました。 逆に手間を減らしてしまう(or 必要な対策を適切にとらない)こともあるのではと思いました。

バランスを取るのは難しいことですが、 サービス運営、サービスに関わる人に手間を与えてしまったり、逆に脆弱性を作ってしまうと、その分サービスの価値を落としかねません。 対策の本質を見極め、相手に対する価値やメリットを提示できるよう頭を働かせないと、所属組織の対外的価値も落としてしまいかねないと思いました。 常に考えながら取り組まなければならないと思いました。

WHYとWHATとHOW

第2章からの引用ですが、「はじめに」にも書かれていました。

  • 何が期待されているか(WHYやWHAT)
  • どのように実現するか(HOW)

また、それに対する、

  • 説明責任(WHY/WHAT)
  • 実行責任(HOW)

を実行しなければなりません。説明責任はアウトソースできないですが、これは経営者だけでなく現場の担当者にも言えることかなと思います。 また、実行責任をアウトソースできても、そこに対する統制はしなければなりませんし、アウトソース先にやってもらうことの理解がないと、対策は破綻してしまうと思います。 自分が何の対策をして(どこにアウトソースを依頼して)、なぜやるのか、自分以外の人たちに説明できるように。まずはそこからかなと。 対策の効果を上げられるよう、HOWとWHYとWHAT、心に刻んで仕事しようと思いました。 セキュリティに限った話でなく、当たり前のことかもしれませんが…

ガードレール型のセキュリティ

第4章と第8章で触れられていました。 組織にガバナンスとポリシーを定めないと、人による脆弱性が生まれます。 人的ミスを防ぐためのITによる仕組みも、ただ使うのではなく統制が必要です。 しかし、「統制」ばかりすると、手間を増やし事業やサービスの邪魔になってしまうかもしれません。

歩みを止めず道を外さないように進んでもらい、逸脱を発見できるようにするガードレール。 変化のスピードが激しい現代、このアプローチによる対策をいかに考えられるかが大事だと思います。 とはいえ、ガードレールがあればゲートキーパーは不要かと言ったらそうではなく、 ゲートキーパーで防げない物をガードレールで検知できるようにすることが必要。 これも、WHYとWHATを明確にして、どのポイントでどう守るか(HOW)を定義すれば、 手間になりすぎず脆弱性を作りこむことも少なくなるのではないかと思いました。

データフローによる保護範囲の把握

第6章からの抜粋です。個人的にはここが今までにない観点で、これを意識したアセスメントができていなかったため取り上げました。 Webシステムのデータフローが例として挙げられていましたが、システム以外にも業務フローにも当てはまることかと思います。 データの流れ、仕事の流れに着目すれば、暗号化されていない個所、盗聴されかねない場所、老朽化したネットワーク、人的ミスなど、 不足している対策が見えてくるということに改めて気づかされました。何事も流れをつかむことが大事ですね。

最後に

冒頭に書いた通り、「AWSではじめる」と銘打ってあるものの、AWSに特化しているわけでなく、 他のクラウドサービスに置き換えても共通する内容だと思いました。 AWSをはじめクラウドに関わりの浅い情報システム担当者や企業の情報セキュリティ部門の方々が読んでも 学びになること、見直しになることが多いのではないかと思いました。

セキュリティ管理、監視と検知の一般的な考え方とAWSでの実現方法が絶妙なバランスで書かれていたため、 「このAWSサービスはどんなシーンで使われるのか」についても、とても分かりやすかったです。 AWSを活用してセキュリティ対策をしたい方にもうってつけと思いました。

明日3/23に以下のイベントがありますので、今回のブログを書いて予習になり、少し頭を整理できて良かったと思っています。 まだまだ理解が浅いと思っているので、明日のイベントに参加して、事あるごとに読み返して理解を深めていきたいです。

jawsug-chiba.connpass.com