ど~も!
ともみらです!
虫歯になりたくないので、歯医者に定期健診に行ってきました!
ちょっぴり虫歯なっていると言われ、がっかりしながら記事を書いています。
どんなに防ごうと思っても、『100%』は防げませんねぇ~
でも、最小限で見つけられたので、ラッキーと思う事にしています。
ほっとくと大変な事になっちゃいますからね。
さあ、気を取り直していきましょう!
今日のテーマは、
クラウドサービスのセキュリティを知る!
ひと言に『セキュリティ』と言っても、幅広いんですよねぇ~
歯医者の話で言えば、侵入してくる『虫歯菌』を防ごうとしてくれる『歯医者さん』のようなものです。
ともみらは、ITインフラエンジニアで中間管理職 をしています。
主に『インフラ』という分野は、この『セキュリティ対策』をしっかりしないといけません。日々、戦いなのです。
もちろん『インフラ』だけでは駄目で、インフラ基盤の上で動作する『アプリケーション』も『セキュリティ対策』をする必要があります。その他にもたくさんあるのですが。
今回は、『インフラ』に重点をおいて、『セキュリティ』を考えていきましょう!
ともみらブログでは、今回も、IT業界を目指したいとか、転職したいとか思っている方に向けて、わかりやすい内容でお伝えしていきたいと思います。
でも、意外と エンジニア の方でも『セキュリティ』は意識しているものの、対応できていない人も多いのです。『セキュリティ』と一言で言っても、幅広いからです。
これは、『個人レベル』でできる事と、『多額の資金が必要なレベル』でできる事が違ってくるからですね。
特に後者は、『お金』が絡んできますので、最適な対策を取る必要があるからです。
1. セキュリティ対応の目的
一般的な『セキュリティ』とは、
セキュリティとは、安全、防犯、保安、防衛、防護、治安、安心、安全保障などの意味を持つ英単語。盗難や破壊など人為的な攻撃からの保護を意味し、事故や災害など人の意志によらない危険や脅威からの安全を表す “safety” (セーフティ)とは区別される。
ITの分野では訳さずに外来語として「セキュリティ」をそのまま用いる。コンピュータやソフトウェア、データ、通信路などを暗号や防御ソフト、アクセス制御機構などを用いて技術的に保護し、機密情報の漏洩や通信の盗聴、データの改竄や消去、コンピュータへの攻撃や侵入などの危険を排除することを表す。保護する対象により、「情報セキュリティ」「サイバーセキュリティ」「コンピュータセキュリティ」「ネットワークセキュリティ」など様々な分野に分かれる。
と、ズラズラ記載されています。
まあ、難しい事は考えずにいきましょうね!
要は、『用心棒』みないなものと思ってもらっていいでしょう。
いろんな所から、悪い奴らが、悪さをしにくるわけです。
それを防ぐ為に、強い『用心棒』(セキュリティ)を雇うわけです。
ただ、入り口をひとつだけ守っていても、裏口から入られます。
その他にも、窓から入られます。天井からも入られます。
ルパンだったら、穴を掘って侵入するでしょう。
とても、ひとりの『用心棒』だけでは、どうしようもありませんよね?
さらに、入られると、やりたい放題です。
盗む(情報漏洩)、壊す(破壊)、落書きする(改竄)などをするんですね。
困ったやつらです。
じゃあ、どうすれば良いと思いますか?
ともみらさぁ~ん!
簡単じゃ~ん!
たくさんの『用心棒』を雇えばいいじゃんよ!
その通りです。
とても強い『用心棒』ですから、頼りになりますよね!
そんな人がたくさんいてくれたら、もう大丈夫!
だよねぇ~
とはなりません!
え?なんで?
だって、次から次へとやってくるのです。
あの手この手でやってきます。
さらに、『お金』がたくさん必要になりますよ
そんな強い『用心棒』をたくさん雇ったら、いくらかかるんでしょうか?
悪いやつらを防いでくれても、お給料が払えず、彼らは去っていくでしょうね。
さらに、強い『用心棒』の方々は、絶対の自信を持っていることでしょう。だから、他の『用心棒』とは連携を取りません。
一見、完璧に見える対策も、連携だったり、お金だったりのバランスを考えながら、対応していく必要があるのです。
要するに、
どこに『お金』をかけて、どこを『守る』かということですね。
例えば、入り口と屋上は危ないから、仲が良くて強い『用心棒』の二人に守ってもらい、窓は『用心棒』ではなく、強化ガラスだけで対応しておくみたいな感じでしょうか。
そうすることで、必要なところにお金を掛けて強固にし、それ以外は、少し安く対応するというような『バランス感覚』が必要です。
それほど『セキュリティ対策』とは、幅広いのです。
2. セキュリティ対応範囲
では、具体的に『セキュリティ』の対応範囲を考えてみましょう!
細かいところは、あまり考えずいきましょう。
ともみらは、クラウドサービスでは『AWS』を 2015年 から仕事で利用しています。
今回は、主に『AWS』を利用する場合を想定しています。
まず、『AWS』を利用する前提知識ですが、
非常にセキュリティレベルが高いのです!
『AWS』を利用することで、既に『セキュリティ対策』になっています。それは、多くの『セキュリティ認証』を『AWS』が取得しているからです。
クラウドサービスなんて、どこにあるかわからないし、そんな訳ののわからん場所にデータが保存できるかぁ~
って思うじゃないですか。
間違いです!
あなただけで、そんなに多くの『セキュリティ認証』の規格を取得できるはずもありません。
ひとつ取得している間に、悪い奴らは ドンドン やってきます。
もはや間に合いません。
だから、難しいことを考えずに、『クラウドサービス(AWS)』を利用するのが、セキュリティ対策としては有効な手段なのです。
おおぉ~!もう万全ですねぇ!
と言いたい所ですが、これだけでは駄目なんです。
守らなければならない所が他にもたくさんあるからですね。
マンションをイメージしてみましょう!
マンションは、数階建てになっていますが、セキュリティで考えると、各階に『用心棒』(セキュリティ) が必要になってきます。
例えば、以下のように階層があるとします。
セキュリティは、この階層ごとに『用心棒』(セキュリティ)を配置する必要があるからです。
- 高階層 (用心棒)
- 中階層 (用心棒)
- 低階層 (用心棒)
これは、セキュリティで守れる範囲(レイヤ)が異なるからです。
では、次にどのような製品で守るのでしょうか。
- 高階層 (用心棒 WAF)
- 中階層 (用心棒 IDS/IPS)
- 低階層 (用心棒 ファイヤーウォール)
各階層で守る為の『用心棒』が異なってきますよね。
全部の階層を守る事が重要です!
低階層だけ守っても、高階層から入られてしまいますし、逆に高階層の製品だけを入れたとしても、低階層で何もしなかったら侵入されてしまいます。
ここで出てくる "悪い奴” は、主に "攻撃してくる対象" になりますが、守る製品もたくさん出てきましたね。
悪い奴らとは?
- SQLインジェクション
- クロスサイトスクリプティング
- Dos/DDos攻撃
- OS脆弱性
- ポートスキャン
- IP/ポートアクセス
守る製品(用心棒)とは?
- WAF
- IDS/IPS
- ファイヤーウォール
専門用語がたくさん出てきましたので、興味を持って調べて見ると良いでしょう。
守る対象がそれぞれ違うからです。上記の悪い奴らは、どれで守れるかを調べてみると知識が高まる事でしょう!
ここでは、基本的なものだけを紹介していますが、セキュリティの対応範囲や製品は幅広く、最近ではひとつの製品でたくさん守る事ができるものも増えてきていますので、自分なりのセキュリティ対策を立ててみるのも面白いでしょう。
3. どう対応していくか
では、どう対応していくのが良いのかを考えてみましょう!
対策としては、これまたいろいろありますが、有効な対策を見ていきましょう。
対策
既に記載していますが、『クラウドサービス(AWS)』を利用することは、たくさんの『セキュリティ認証』を取得しているからです。
個人で対策などできるはずもありません。AWSを利用することをおススメします。
次に、『クラウドのセキュリティ製品』を利用するのが良いでしょう。
AWSサービスには、いろいろ優れたセキュリティ製品がありますので、ご紹介しますね。
ともみらの会社でも、導入を検討しているのです。
これだけで、かなりの悪い奴らを防ぐ事ができるでしょう!
簡単に説明しますと、
1. AWS WAF + WafCharm
- Webアプリケーションを守ってくれる用心棒。
- 悪い奴ら(クロスサイトスクリプティングやSQLインジェクションなど)から守る
- 運用していくと、他に悪い奴らもたくさん出てくるので、守る為のルール作りが必要になってくるが、これを自動でやってくれる(WafCharm)
2. AWS Shield
- 悪い奴ら(DDos)の DDos 対策をしてくれる用心棒
- 見張ってくれる(モニタリング)
3. GuardDuty
- 最強の脅威検知サービス!
- しかも安い。コストパフォーマンスは最高!
- 入れない理由がない!
次は、『コスト』を考えてみましょう!
普通に考えて、何か製品を購入し、導入することをイメージしてみましょう。
通常、セキュリティ製品は、数百万から数千万単位で導入費用が掛かります。
だから、安易な選択では痛い目を見る事でしょう。
あなたが、会社で『このセキュリティ製品は最高です!でも、一千万しますが、自信あります!』って言って、自信満々に導入した高いセキュリティ製品が、次々とセキュリティを破られ、日々の運用も大変になってしまったらどうでしょうか?
高いお金を出して購入している手前、後にも引けず、上層部からは追求され、運用メンバーからは、ため息をつかれるという将来が待っています。
でも、クラウドサービスの良いところは、『スモールスタート』できるところです!
初期費用は掛からず、月額利用分だけです。
使ってみて、駄目だったら止める!
これで良いと思います。
駄目だったら違うサービスを検討すれば良いので、そこまでコスト的なダメージや、周りからの冷たいコメントも少ない事でしょう。
もう一度、言いますね!
スモールスタートで駄目だったら止める!
これで良いのです!
駄目だったら、あなたが辞める必要はないのですから。
4. まとめ
セキュリティについて、いろいろと話をしてきましたが、簡単にまとめてみましょう!
- セキュリティの対応範囲は幅広い為、どこまでやるかのバランス感覚が必要。
- クラウドサービス(AWS) を利用することで、高いセキュリティ対策になる。
- どれだけ対策しても万全ではない。広範囲をいかにカバーするかが大事。
- AWSのセキュリティ製品を利用しよう。
- スモールスタートで始める。駄目だったら止める。
これだけ知っているだけでも、かなりのセキュリティ対策にはなるはずです。
ともみらブログでは、今回も、IT業界を目指したいとか、転職したいとか思っている方に向けて、わかりやすい内容でお伝えしてきたつもりです。
厳密に説明すると、細かいところはたくさんあるのですが、まずは興味を持つことが大事です。
また、どちらかというと『クラウドサービス』を中心に話をしています。
他にもいろいろ環境はあります。物理環境で利用している会社も多いと思いますが、特に、これからインフラエンジニアを目指す方は、クラウド中心に勉強したり、経験する事をおススメします。
今から、物理環境中心の勉強を始めても、時間がもったいないからです。
もう古い知識になってきてしまっているのです。
ともみらも、20年ぐらいの ITインフラエンジニアのキャリアがありますが、2015年にAWSを利用し始め、システムが『物理環境』から『クラウド環境』へと移行する中で、物理環境で培った知識を利用する機会が少なくなったと感じています。
むしろ、AWSの便利さの恩恵を受けており、今後もこの流れを止める事はできないでしょう。
だから、これからITインフラエンジニアを目指す人は、クラウド中心の技術を学んでいく事をおススメしているのです。
ですが、必ず突き当たるのが、どのサービスを利用したら良いのか?どう組み合わせたら良いのか?コストは大丈夫なのか?冗長構成はどうする?など悩ましい事が、たくさん出てくる事でしょう。
でも、面白いと思いますよ!
これからも、ともみらブログではクラウドを利用したITインフラネタをご紹介していきたいと思っていますので、参考にしていただけたら幸いです!
過去のブログ記事も参考にしていただけると励みになります。
コメントもお待ちしております!
なるべくわかりやすくが、モットーですが、途中で話がズレてしまう場合はご了承下さいね。変なおやじですから・・・・
クラウド時代の『用心棒』を備えよう!