AWS Configを活用したガバナンスの強化
はじめに
「AWSでサーバレスを選ぶ理由」では、サーバレスが従来型に比べて何が新しく、我々のようなクラウドを利用する開発者にどんなメリットを与えるのかを解説した。
業務システムをAWSのサーバレスに移行すると、セキュリティ対策のアプローチが変わり、従来型では実現が難しかった統制が可能となる。
TISでは、AWSに移行した業務システムのセキュリティ対策を支援する「AWSセキュリティ」サービスを提供し、AWSのセキュリティマネージドサービスを活用した様々な対策を推奨している。
AWS Configは、AWSのガバナンスおよびセキュリティ対策の1つであるガードレールを実現するサービスであり、AWSの各種サービスの設定を自動的に評価し、基準に適合するか否かを監査できる。
本記事では、AWS Configの特徴と、TISが提供するAWSのセキュリティ対策サービスを紹介する。
AWS Configの特徴
AWS Config (以下 Config) は、イベント駆動型のセキュリティおよびコンプライアンス対策サービスであり、Amazon EC2、Amazon EBS、Amazon VPCなどのAWSサービスで作られたリソースの設定を自動的に評価、監査、審査して、ルールに対する違反があるかどうかを確認できる。
イベント駆動とは、外部で発生したイベントを契機としてコンピューティングを実行することであるが、Configでは、例えばAmazon EC2の仮想サーバインスタンスが起動したことを契機として、EC2にアタッチされているSecurity Groupで不要なポートが不特定多数に解放されていないかどうかを確認でき、解放されている場合にはNON_COMPLIANT(非準拠)と評価して管理者宛にメールを通知するなどのアクションを実行できる。
また、ConfigではAWSの各サービスの設定値を監視することができ、リソースの作成、変更、削除が行われた時に変更記録を取り、スナップショットとして保存できる。
Configの利用イメージ
Configは主に次の用途で利用される。
(1) AWSリソースの変更履歴の記録と追跡
AWSの各サービス上のリソースで設定が変更された時、変更履歴とその詳細を記録して、S3バケットに保存できる。
変更履歴は、AWSマネジメントコンソールのGUIで直感的に確認でき、各リソース間の関係を把握して追跡することもできる。
例えば、前述のSecurity GroupとEC2インスタンスの場合は、両方の設定変更が記録されるため、後から関連を追跡できる。
また、APIやCLI を使用してプログラマブルに設定変更履歴を取得することもできる。
(2) ソフトウェアの変更履歴の記録と追跡
EC2インスタンス、オンプレミス環境、その他環境で実行中のソフトウェアの設定変更を記録して保存できる。
AWS Systems Managersのインベントリ機能を利用することで、オペレーティングシステム (OS) の設定、システムレベルの更新(パッチの適用状況やアップデートなど)、ファイル、インストールされているアプリケーション、ネットワーク設定などの変更記録をConfigで確認できるようになる。
(3) ルールに準拠していないリソースを検知
Configでは、AWSリソースやソフトウェアの設定を評価するためのルールが、マネージドルールとして用意されている。
マネージドルールを利用して、設定変更の内容がルールに準拠しているかどうかを評価できる。
また、マネージドルールを参考にして独自にルールをカスタマイズできる他、AWS Lambdaを利用して自社内のベストプラクティスやガイドラインへの準拠を評価するためのカスタムルールを独自に作成できる。
さらに、ルールに非準拠と評価されたリソースを自動的に修正できるため、Configを利用してガードレールを実装することもできる。
AWS Configの活用を支援するTISのサービス
こんな課題をお持ちではありませんか?
- AWSのサービスをフル活用してセキュリティ対策やガバナンス対策を実現したい。
- 現状、セキュリティ対策として考えられているのはウイルス対策くらいであり、それ以上のことが思い浮かばない。
- AWSのマネージドサービスを出来る限り活用し、運用チームの作業負荷と責任範囲を軽減したい。
「AWSセキュリティプリセット」
AWS利用時のセキュリティや運用面に不安を持つお客様には「AWSアカウントを発行したら最初に実施すべきセキュリティ・運用設定」を追加費用不要で初期設定します。
PCI DSSなど各種セキュリティ基準の準拠を保証した対策により、安全にAWSを利用開始できます。
事例紹介
システム保守・開発のための多拠点情報共有基盤 「AXION」をクラウドへ移行。
TISインテックグループでは、システム保守・開発プロジェクトを円滑に推進するための情報共有基盤として「AXION」を構築している。
保守/開発プロジェクトに必要なツールをそろえ、社内外・複数拠点と、物理的に離れた場所からもドキュメントや情報をリアルタイムに共有できる仕組みとなっている。
2012年から自社環境で展開してきたAXIONは、より柔軟に扱えるようにするため、2016年から2017年にかけて、アマゾン ウェブ サービス(AWS)環境への移行を実施し、より俊敏性・柔軟性・生産性の高い基盤として生まれ変わった。
AXIONのプロジェクトマネージャと、IT基盤エキスパートに移行プロジェクトのポイントについて聞いた・・・
TISはAWSに関する高い技術力を証明する各種認定を取得しています
著者紹介
横井 公紀
IT基盤技術事業本部 IT基盤技術事業部
IT基盤ビジネス推進部 主査
AWS東京リージョン開設当初から、数々のAWS移行プロジェクトに担当者・プロジェクトリーダーとして参画。
2019年にはAWS Ambassadorsの選出を受け、現在はTIS社内のAWS CCoEリーダーとして、全社AWS技術者コミュニティの運営、全社のAWS利用促進によるビジネスの拡大と、エンジニアの先鋭化を目指した育成を推進している。