2022年9月8日にアイレットが主催するエンジニア向けオンライン勉強会「雲勉」が開催されました。
今回のテーマは「クラウド環境のセキュリティリスクアセスメントとその対応」。
クラウド環境のリスクや必要な対策の考え方について、クラウドインテグレーション事業部の村上桃子が解説しました。
この記事では発表内容の一部をご紹介します!
詳しく知りたい方は記事最後の YouTube にてアーカイブ動画をご覧ください!
あなたのクラウド環境、安全ですか?
クラウド環境を100%安全にすることはできません。重要なのは、リスクが許容できる範囲であることです。
クラウドを活用してビジネスやサービスの目的を達成するために、どれくらい安全なら許容できるかを考える必要があります。
効率よくリスクを小さくしてシステムを安全にするための手法の一つとして、「リスクアセスメント」があります。
リスクアセスメントとは
リスクアセスメントとは、
どんなリスクがあるか洗い出す
↓
起こりやすさ・影響を分析
↓
リスクへの対応方法を検討し、対応の優先順位付けをする
この一連のプロセス・手法のことをいいます。
クラウド環境のリスクを可視化してみよう
会員制サイトのサービスを例に、実際にクラウド環境のリスクを洗い出し、分析しました。
分析は、それぞれのリスクの「起こりやすさ」と「影響」を評価して行ないました。
リスクへの対応を検討してみよう
そして、分析したリスクを順位付けし、対応方法を検討しました。
「パブリック公開設定のリソースが攻撃を受ける」リスクに対しては
→公開設定のバケットを検知し、通知する
「脆弱性を悪用される」リスクに対しては
→AWS WAF で Webアプリを保護する
などといった対応策が挙がりました。
AWS Well-Architected Framework のご紹介
最後に、AWS のシステム設計・運用のベストプラクティス集である AWS Well-Architected Framework の紹介をしました。
まとめ
実際のリスクアセスメントの工程を見て、リスクアセスメントをゼロから行なうのには膨大な工数がかかるだろうなと感じました。
AWS Well-Architected Framework には
・リスクを1から洗い出さなくて良い
・AWS Well-Architected Tool を使えばリスクレベルも提示され、優先度が分かる
などのメリットがあり、効率的にセキュリティ対策が行なえそうです。
詳しく知りたいという方はアイレットのYouTubeにてアーカイブ動画をアップしていますのでぜひご覧ください!
次回の雲勉は9月15日、テーマは「ECS 入門 〜CloudFront + ELB + ECS Fargate で Webサイトを公開〜」です!
ぜひご参加ください!
申し込みはこちらから:https://cloudpack.jp/event/kumoben-20220915.html
