オンプレミスで稼働していたシステムをパブリッククラウドに移行したいが、可用性やセキュリティが心配―。このように考えるユーザーは何に注意すべきか。Amazon Web Services(AWS)を例に、基幹系の基盤として活用する際に押さえておくべきポイントを、AWSの専門家が解説する。


 基幹系システムをAWSで稼働させる際に信頼性や可用性とともに注意を払いたいのがセキュリティの確保である。AWSに限らずパブリッククラウドでは、DCの場所や内部のシステムの情報が原則公開されず、ブラックボックスになる。

 数年前までは「本当にクラウドを利用して安全なのか」「信頼性は担保されるのか」といった不安の声が挙がっていた。しかしクラウドが実現するセキュリティの高さに理解が進み、2017年に入ると「セキュリティを確保するためにクラウドの利用を検討する」といった企業も登場するなど、セキュリティへの不安は払拭されつつある。

 とはいえ、基幹系システムでAWSを利用する場合には基本的なセキュリティの考え方や注意事項を押さえておく必要があるのは変わりない。

 AWSがサーバーリソースなどの内部の詳細な仕組みについて一部の情報しか公開しなかったり、DCの場所を明らかにしなかったりするのは、AWSとユーザーの責任を明確に分ける「責任共有モデル」という考え方を採っているためだ。AWSを利用するうえでは、責任共有モデルを理解しておくことが非常に重要になる。

 責任共有モデルにおいて、AWSはDCやハードウエアの管理と運用に責任を持ち、ユーザーは仮想ネットワークやOS内部、そしてAWSの各種設定について管理と運用を行う責任があると定義している。

「責任共有モデル」の概要
[画像のクリックで拡大表示]

 責任共有モデルに従って、AWS側の責任範囲についてはユーザーに情報を公開しない代わりにAWSでは第三者の認証や監査を経て、管理が正常に行われていることを提示している。責任共有モデルでは、ユーザーはオンプレミスと同様に、OSの管理機能やセキュリティソフトの利用を通じて、セキュリティを確保することになる。

セキュリティサービスは充実

 責任共有モデルに従うといっても、AWSは全てのセキュリティ管理をユーザー側に任せきりにするのではなく、セキュリティ確保のためのサービスを用意している。多くのサービスは基本的にはAWSが「提供しているだけ」であり、設定と管理はユーザーが責任を持って行う。

 EC2などのサービスでは、「セキュリティグループ」と呼ぶアクセス制御の機能を用意しており、これを利用してOS上ではなく、AWS側で接続元のIPとポート番号を制限できる。

セキュリティグループの考え方
[画像のクリックで拡大表示]

 ユーザー側でカスタマイズ可能なWAF(Webアプリケーションファイアウオール)の「AWS WAF」や、ユーザー側の設定が不要なDDoS(分散型サービス拒否攻撃)対策サービス「AWS Shield」といったサービスもある。

 最近ではセキュリティ分野でもAWSのパートナーやサードパーティ製品で、AWSに対応したサービスが増えつつある。トレンドマイクロのセキュリティソフト「Deep Security」は、AWSアカウントと連携してサーバーの一覧を管理できるだけでなく、負荷に応じてサーバーの台数を自動的に増減する「オートスケール」にも対応している。

ここからは会員の登録が必要です。