re:Invent 2018 SE参加レポート第3弾「サーバレスアーキテクチャのセキュリティ設定とは」

公開日
2018年12月19日

皆さまこんにちは、トレンドマイクロの西村です。このたび、現地時間の11/26から11/30にかけて開催されたAWS re:Invent 2018に参加させていただきました。この記事では、「サーバレス環境でのセキュリティ」について、参加したセッションの内容も踏まえながらご紹介いたします。

はじめに

今回聴講したKeynoteやセッションで、AWSが提供するサーバレスのサービスに関する内容を頻繁に目にしたことが印象的でした。個人的に、サーバレスのサービスについては必ずしも事前知識が十分ではありませんでしたが、re:Inventの期間中に複数のセッションに参加することで、基礎から最新動向まで幅広く把握できました。

サーバレスでのシステム構成やセキュリティ設定について

まず、サーバレスのサービスを利用したシステムの構成については、以下のセッションが非常に参考になりました。
Serverless Architectural Patterns and Best Practices (ARC305-R2)

このブログの読者の方の中には既にご存知の方も多いかもしれませんが、上記のセッションの内容を踏まえると、AWSが提供するサーバレスのサービスには次の特徴があります。

・ サーバやコンテナの管理が不要
・ 高可用性
・ 柔軟なスケーリング
・ アイドルキャパシティがない

具体的なサービスとしては、AWS Lambda、Amazon S3、Amazon DynamoDB、Amazon CloudWatch、Amazon SQS等が紹介されていました。

そして、当該のセッションでは、サーバレスWebアプリケーションを構成した際のセキュリティ設定として、次のような項目が挙げられていました。

・ S3のBucket Policyを設定する
・ Lambdaのfunction policyを設定する
・ CloudFrontのOrigin Access Identity (OAI) を設定する
など

従来のようにサーバを構築した際には、そのOSのファイアウォールを設定してアクセスを制限するというような単純なものではなく、利用するサーバレスのサービスに存在する設定やその役割を理解したうえで、正しく設定を実施する必要があることが分かりました。

ハンズオン形式でAWSでのセキュリティを

re:Invent 4日目の11/29には、「Security Jam」というセッションにも参加させていただきました。

Hacks & Jams

「Security Jam」は弊社もスポンサーとなって開催されたセッションで、AWSを利用する際のセキュリティ対策について、問題を解きながら学べるセッションでした。
外国の参加者の方と4人のチームを組み、英語でディスカッションを行いながら問題に解凍していきました。詳細は差し控えますが、問題の中にはサーバレスのサービスのセキュリティ設定に関連した内容も出題されておりました。
セッションの時間は約8時間と長丁場でしたが、実際に手を動かしながらセキュリティに関する設定や対策方法の理解を深めることができ、有意義な時間となりました。

Keynoteで発表されたAWS Control Tower

現地時間の11月28日に開催されたAWS社CEOのAndy Jassy氏のKeynoteでは、「AWS Control Tower」という興味深い新サービスが発表されました。

AWS Control Tower

このサービスを利用することで「マルチアカウント環境下で基本となる環境設定を自動化できる」、「ログの集中管理や有効化されているアカウントの状態を統合的に把握できる」といったメリットがあると謳っていました。
※筆者の認識で記載しておりますので、正確な情報につきましては上記AWS社のページをご覧ください。

AWS Control Towerは既にプレビュー版への登録が可能になっているようです。
ユーザにとっては、このような自動化サービスも上手く活用することで、セキュリティに関する設定の煩雑さを低減するとともに、意図しない設定の防止につながるのではないでしょうか。

最後に

今回のre:Inventに参加することで、サーバレスのサービスや、それらを利用する上でのセキュリティ設定について学ぶことができました。
また、Andy Jassy氏のKeynoteでは「the right tool for the right job」という言葉が繰り返し用いられていたことも印象的でした。AWS上のサービスが多様化していく中で、最適なサービスを選択し、適切に使用していくための継続的な情報収集や技術の習得も必要だと感じました。

トレンドマイクロ株式会社
セキュリティエキスパート本部
エンタープライズテクニカルサポート部
スレットレスポンスセンター
西村 明紘

お問い合わせ窓口一覧

メールでのお問い合わせ
aws@trendmicro.co.jp

Copyright © 2019 Trend Micro Incorporated. All rights reserved.