AWS ガイドライン策定支援
システムの重要度に応じた ガバナンスと アジリティの バランスを 見極めて、既存の セキュリティポリシー・FISC 安全対策基準等への 対応や、内製化・外部サービス活用の 領域を整理し、お客様の強みを生かした環境を 整備できるよう、「AWS 活用を 推進・統制するための ガイドライン策定」を ご支援します。
クラウド活用・クラウドファーストが 当たり前になったことで、「クラウド特有の アップデートへの対策」
「多くの開発者の出入りによる ID 管理の不備」「手軽さゆえの 設定ミスや リソースの乱立」をはじめ、不正アクセス、予想外のコスト発生、データ漏洩、システム破壊 など …… クラウド環境では、これまでになかった リスクが 顕在化しています。
また、クラウドは利用が手軽であるからこそ、「環境によって異なる セキュリティ対策」「全体構成管理の複雑化」「監査対応の困難化」「非効率的な機能の重複実装」など、統制されていない環境ができやすいのも 課題です。そこで、あらかじめ クラウド活用方針を定め、その方針に基づいた プロセスや ルールなどの「クラウド活用を推進するための ガイドライン」を整備することが 重要となっています。
野村総合研究所(NRI)の「AWS ガイドライン策定支援」では、AWS の クラウドセキュリティにおける 責任共有モデルを基に、既存の セキュリティポリシーや FISC 安全対策基準等への 対応を検討し、システムの 機密性・完全性・可用性に応じた ガバナンスと アジリティの バランスを見極め、内製化や 外部サービス活用の 領域を整理して、お客様の強みを生かした アプリケーションの開発環境等を 整備できるよう、AWS 活用を 推進・統制するための ガイドライン策定を サポートします。
AWS ガイドライン策定支援
ガバナンスを効かせながら クラウド活用を 推進するための
AWS の ガイドライン整備
AWS の ガイドライン整備の 流れ
AWS 活用推進と 統制の 3つの勘所
クラウド活用ガイドラインの整備時に 大切な考え方
AWS の活用推進と 統制においては、「ガバナンスと アジリティ」「責任共有モデルと対策」「外部サービスの活用」の 3つのポイントを押さえることが重要です。クラウド活用ガイドラインの整備時における 大切な考え方になります。
まず、「ガバナンスと アジリティ」の観点では、予防的統制と 発見的統制を 使い分け、システムの 機密性・完全性・可用性に応じた バランスの見極めが 重要になります。
次に、「責任共有モデルと対策」の観点では、AWS の クラウドセキュリティにおける 責任共有モデルを 理解した上で、既存の セキュリティポリシー や FISC 安全対策基準等に 照らし合わせて、統制目標別に 利用者と AWS の対策の整理を進めます。
そして、「外部サービスの活用」の観点では、クラウド特有の運用や それに伴う負荷を軽減し、ビジネス領域に 注力できるよう、内製化や 外部サービス活用の 領域を整理して、自社の強みを生かした アプリケーションの開発環境を 整備します。
野村総合研究所(NRI)の「AWS ガイドライン策定支援」では、「AWS 活用推進と 統制の 3つの勘所」を 踏まえた上で、お客様の クラウド活用ガイドラインの整備を サポートします。
AWS 活用推進と 統制の 3つの勘所(1) - ガバナンス と アジリティ -
重要なのは、ガバナンスと アジリティの バランス
AWS 活用において 重要なのは、「 ガバナンス(統制・統治)」と「 アジリティ(俊敏性)」の バランスです。
重要システムの場合は ガバナンスを確保して「クラウド利用の 安全性」に 重点をおき、PoC(概念実証)や 開発環境の場合は「DX の 加速」のために「クラウド操作の 利便性」を 重視するなど …… 野村総合研究所(NRI)の「AWS ガイドライン策定支援」では、システムの 機密性・完全性・可用性に応じて、「安全性」と「利便性」の バランスパターンを定義し、「ガバナンス」と「アジリティ」の バランスを見極めていきます。
予防的統制 と 発見的統制 - AWS 活用における ガバナンスの 考え方
AWS 活用における「ガバナンス」の 考え方として、「予防的統制」と「発見的統制」があります。
「予防的統制」では、リスクある操作を禁止し、必要時は 申請・承認プロセスを経て 実施します。「発見的統制」では、リスクある操作の実行を検知。問題の有無を確認し、必要に応じて是正します。
リスクが高い 操作を禁止する「予防的統制」を 強め過ぎると、申請・承認プロセスに 時間がかかるため、「アジリティ」が低下して、迅速な開発の 妨げとなることがあります。「アジリティ」を 低下させないためには、必要に応じて是正を促す「発見的統制」を 組み合わせて、安全 かつ 高効率な システム開発を可能とする 環境を整えることが 重要になります。
機密性・完全性・可用性に応じた バランスの見極め
アクセス権限を適切に管理して 情報漏洩などの リスクを防ぐ「機密性」、データを最新かつ正確な状態で維持して 破壊・改ざん・誤操作を防ぐ「完全性」、ユーザーが 継続的に 安定して 利用できるよう システムの停止・障害を防ぐ「可用性」など …… システムの状況に応じて、「安全性」と「利便性」の バランスパターンを定義し、「ガバナンス」と「アジリティ」の バランスを見極めていきます。
基幹業務や 人事情報などの「重要システム」では、「クラウド利用の 安全性」に 重点をおき、セキュリティを確保するための「予防的統制」を ある程度 強める必要があります。
対して、インターネット情報解析や 新アプリの プロトタイプなどの「PoC・開発環境」では、「クラウド操作の 利便性」を重視し、アジリティと フレキシビリティを上げつつ、的確な リスクコントロールを行う「発見的統制」を取り入れて、安全・迅速・高効率な システム開発を可能とする 環境を整える必要があります。
システムの重要度に応じた 統制レベルを パターン化
野村総合研究所(NRI)の「AWS ガイドライン策定支援」では、システムの重要度に応じて、統制レベルを パターン化し、「予防的統制」と「発見的統制」を 使い分けて、「ガバナンス」と「アジリティ」の バランスを実現します。
「重要システム」「PoC・開発環境」などの 機密性・完全性・可用性や 、「AWS アカウント管理」「監査ログ管理」「セキュリティ監査」「ネットワーク」などの 領域を整理して、安全で 開発のしやすい 環境を整備し、お客様が ビジネス領域へ 注力できるよう サポートします。
AWS 活用推進と 統制の 3つの勘所(2) - 責任共有モデルと対策 -
AWS の クラウドセキュリティにおける "責任共有モデル" の理解
野村総合研究所(NRI)は、AWS の クラウドセキュリティにおける「責任共有モデル」を理解した上で、「利用者」の 責任範囲の対策を サポートします。AWS の サービスには「利用者」と「AWS」の それぞれの責任において 対応する範囲が存在しており、「既存の セキュリティポリシー」や「FISC 安全対策基準」等に 照らし合わせて、統制目標別に「利用者」と「AWS」の 対策の 整理を進めることが 重要になります。
また、「AWS」は、AWS クラウドで提供される すべてのサービスを実行する インフラストラクチャの保護について、責任を負っています。このインフラストラクチャは ハードウェア、ソフトウェア、ネットワーキング、AWS クラウドの サービスを実行する施設で構成されます。なお、「AWS の 統制範囲」については「AWS の コンプライアンス レポート」での 確認が 可能です。
・AWS クラウドセキュリティ / 責任共有モデル ※外部サイトへ
利用者の統制範囲における 対策例
利用者のデータや、プラットフォーム、アプリケーション、ID と アクセス管理(IAM)、オペレーティングシステム(OS)など、「クラウド内の セキュリティに対する責任」については、「利用者の 統制範囲」として、「接続ユーザーの認証」「接続元の限定・制御」「アクセスログの取得・保管」などの AWS 利用者の 具体的な対策が 必要になります。
対策例の ひとつとしては、「AWS マネジメントコンソール(AWS Management Console)への アクセス制御」があります。AWS マネジメントコンソールは、様々な AWS サービスを利用する際の ハブとなる GUI コンソールで、インターネット経由で アクセスが可能です。マネジメントコンソールへの アクセスは、root ユーザー(ルートユーザー)、または IAM ユーザーで 実施します。「アクセスログの取得・保管」については、AWS CloudTrail を利用した ログの取得が可能で、必要に応じた期間を Amazon Simple Storage Service (Amazon S3)で 保管することができます。
不正アクセス防止の観点では、「接続元の限定・制御」が できない root ユーザーは 利用せず、「IP アドレスで 制御可能」な IAM ユーザーを 適切に設定・運用することを 推奨しています。
・AWS CloudTrail - AWS・ハイブリッドクラウド・マルチクラウド環境での ユーザーアクティビティと API の 使用状況を追跡 - ※外部サイトへ
FISC 安全対策基準における 対策事項の整理
金融機関が AWS を活用するには、金融庁の金融監督指針や、公益財団法人金融情報システムセンター(FISC)の「FISC 安全対策基準」等の クラウド活用の枠組みをもとに、クラウドサービスの リスクを分析し 評価することが 重要です。
NRIでは、AWS 環境を利活用する金融機関が 安全対策上 考慮すべき事項について、FISC 安全対策基準の 項目別に、「AWS」の 対策事項と、「利用者」に 求められる 対策事項の整理を 実施します。
また NRIは、AWS が 提供する「AWS FISC 安全対策基準対応リファレンス」を より使いやすいものとするために、AWS パートナーの有志が募り リファレンスの参考文書を作成する コンソーシアムに 参画しており、本コンソーシアムに 参画した AWS パートナー有志企業の共同成果として、リファレンスの参考文書を 無償で提供しています。
・AWS / FISC - FISC 安全対策基準・解説書に関する AWS の情報と、金融機関向け AWS セキュリティ参考資料 - ※外部サイトへ
・NRI / ソリューション・製品・サービス / 金融機関向けクラウドリスク管理支援サービス ※NRIサイトへ
AWS 活用推進と 統制の 3つの勘所(3) - 外部サービスの活用 -
クラウド活用を進めると 管理者には 様々なクラウド特有の運用が発生
「AWS 利用プロセスの運営」「ガイドライン更新」「AWS サービスの アップデート確認」「共通基盤の管理」などの 全体管理や、「AWS 環境の払い出し」「システム構築のサポート」「予防的統制・発見的統制の運営」「利用料・支払い管理」などの 各システム運営等 …… クラウド活用を進めていくと、管理者には 様々な「クラウド特有の運用」が 発生します。
また、「クラウド特有の運用」の発生に伴い、「専用人材の確保」や「運営タスクの増加」などの 負荷も発生するため、「効果的な 外部サービス活用」や「内製化・注力する領域の検討」が 重要になります。
外部サービス活用の考え方と、内製化の検討
野村総合研究所(NRI)の「AWS ガイドライン策定支援」では、「クラウド特有の運用」や それに伴う負荷を軽減するため、「内製化」や「外部サービス活用」の 領域を整理して、お客様の AWS 活用をサポートします。注力したい ビジネスに直結する「差別化に つながる領域」では、「内製化」の検討をサポートして、自社の強みを生かした アプリケーションの開発を ご支援します。
また、「AWS アカウント管理」「監査ログ管理」「セキュリティ監査」「ネットワーク」を はじめとする「差別化に つながりづらい領域」においては、効果的な「外部サービス活用」をご提案し、その分のリソースを ビジネス領域へ 注力できるよう サポートします。例えば、セキュリティ設定の監視の実装を行う際に、外部サービス(CSPM 製品等)を導入することで、個別の設計・構築や、その後の 運営負荷の軽減に つながるといった メリットがあります。
内製化支援推進 AWS パートナー
NRI は 2023年10月、アマゾン ウェブ サービス(AWS)より、「内製化支援推進 AWS パートナー」に 認定されました。AWS では、様々な AWS パートナープログラムを通じて、AWS パートナーとともに お客様の デジタルトランスフォーメーション(DX)の支援を行っています。その中で、AWS に対する 深い知見と 多くの経験を持ち、ユーザー企業の 内製化を支援するための ソリューションを提供している AWS パートナーを、日本独自に「内製化支援推進 AWS パートナー」と 位置づけています。
・2023/12/11 野村総合研究所、「内製化支援推進 AWS パートナー」に認定 - AWS に対する 深い知見と 多くの経験を持ち、お客様の内製化を支援するための ソリューションを提供 -
外部サービス活用の検討
「クラウドを導入したものの、運営に疲れてしまった ... 」 そのような お悩みは、NRIが提供する パブリッククラウド運営サービス「 QUMOA(クモア)」が まるごと解決します。最大の特長は、NRIが クラウド黎明期から 多数のお客様の クラウド導入・運用を支援してきた「ノウハウと人材」。それらを 新しいナレッジや テクノロジーと掛け合わせ、多彩なサービスとして ご提供します。
また、NRIが これまで エンタープライズ企業向けに培った マルチアカウントセキュリティに関するノウハウや ソリューションを「AWS Control Tower を活用した マルチアカウント管理ソリューション」として 集約しています。本ソリューションは、NRIから AWS を リセールする場合はもちろん、直接 AWS を調達するお客様にも ご利用いただけます。
・atlax / ソリューション / クラウドを使って できることを もっと広げる NRIの パブリッククラウド運営サービス「 QUMOA (クモア)」
関連リンク・トピックス
・atlax / クラウドの取り組み / AWS(Amazon Web Services) ※カテゴリーTOPページ
・atlax blogs / 「AWS」カテゴリーの 記事一覧 ※ atlax blogs サイトへ
-
野村総合研究所(NRI)は、AWS プレミアティア サービスパートナーです。多数の顧客エンゲージメントや 幅広い経験、顧客との フィードバックや サクセスストーリーの収集を通じて、2013年に日本で初めて認定されて以降、11年連続で AWS プレミアティア サービスパートナーに 認定されています。
また NRIは、2019年に「AWS マネージドサービスプロバイダー」認定(VCL 4.0)、2020年に「AWS Well-Architected パートナープログラム」認定を取得しており、コンサルティング、システム開発・運用、アナリティクスといった 幅広い分野で、お客様の課題解決に AWS を活用し、DX(デジタルトランスフォーメーション)の実現に取り組んでいます。
お問い合わせ
atlax (アトラックス)では、「AWS ガイドライン策定支援」をはじめ、ソリューション・サービス全般に関する ご相談や お問い合わせを承っております。
※ 記載された会社名 および ロゴ、製品名などは、該当する各社の登録商標または商標です。
※ アマゾン ウェブ サービス、Amazon Web Services、AWS および ロゴは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。