情報セキュリティの重要性が年々増していることを実感した話
AWSのアクセスキー流出などで再注目されるセキュリティ意識
最近AWSのアクセスキー流出によって仮想通貨を押し付けられたり、AWSのインスタンスを世界各地に作られて金銭的被害を与える事件が発生しています。特に仮想通貨の取引では数十億円の被害が出ている実例もあるので正直怖いですよね。
やはりこういった実害が出ているという事で我が社の取締役会でもセキュリティは議論に出ているようですね。ただセキュリティについては会社の上層部も詳しくはないので被害の部分のみにフォーカスした議論をして、結論は出ないタイプの問題になっていると思います。
一応、情報処理安全確保支援士の資格持ちの身としては情報セキュリティに関して関心が増えるのは大変結構なことなのですが、実態よりも過剰に警戒しているような気もしています。
一部の人は「情報流出の元はGithubだ!」「クラウドは危険だ!」という主張をするのですが、Githubもクラウドも使い方に問題があると危険なだけで設定をしっかりとしていれば問題ありません。そのためよくある質問に対しての私なりの回答を書いてみます。
- Q1. AWSのアクセスキー流出などが危険だから自社サーバを立てたほうがいいのでは?
- Q2. AWSを使っているとデータが抜かれるリスクがあるのでは?
- Q3. 外部からの攻撃に対しての対策はどうすればいいのか?
このあたりについて書いていきます。
Q1. AWSのアクセスキー流出などが危険だから自社サーバを立てたほうがいいのでは?
この主張はたまにされます。AWSみたいなクラウドサービスは一部の設定情報がブラックボックスになるので不鮮明であり、リスクがあるという主張です。ただ個人的に自社サーバを立てるのはもうオススメできないなと考えています。

上図のオンプレミスが自社サーバを立てる場合です。基本的に自社サーバを立てる方がエンジニアを抱えたり設備を持つためコストが高くなります。一方でクラウドの方が簡単に設定ができたり、運用時にサービスの規模を大きくしたいときに簡単に対応できます。
また、AWSを含めたクラウドサービスはそこらの自社サーバ構築よりもセキュリティに関してしっかりしています。そもそもAWSの設定をしっかりしていてデータが抜かれましたという情報を聞いたことがあるでしょうか? ないですよね。そんな問題が出たら即座にネットにAWSのリスクに関して情報が溢れます。そういった情報が流れてないという事はしっかり設定すればクラウドサービスは安全に運用できるということです。
そのためクラウドサービスを使う方が「安く済んで、かつ安全」ということですね。
Q2. AWSを使っているとデータが抜かれるリスクがあるのでは?
これも先述した内容と同じですが、AWSの設定をしっかりしていてデータが抜かれたことはこれまでありません。
ただ「設定をしっかりする」というのは非常に難しい事です。やはり経験の豊富なエンジニアに意見を求めることが重要でしょう。
そのため以下の図のような設定情報をまとめるようにしましょう。

この図は適当にネットから拾っているので正しい、正しくないみたいな話ではないのですがこういった図を作成するのは非常に重要です。専門家に見てもらう際にこういった図をもとに説明すると理解が進むでしょう。
ただしあまりAWSに詳しくない上司にこの図を見せるのはやめた方がいいですね。最悪の場合、上司は理解ができず、機嫌を損なうことになるでしょう。
Q3. 外部からの攻撃に対しての対策はどうすればいいのか?
これに関してもクラウドサービスの設定をしっかりしましょうという結論になります。設定をしっかりしていれば外部からの攻撃は通信ログを監視する程度の対策で問題ありません。
それよりも怖いのは内部犯です。社内の人間は外部犯に比べて容易にデータにアクセスできる権限があります。アメリカのようなセキュリティ先進国は外部よりも内部犯を抑えることに注力します。
内部犯の恐ろしいところは誰が外部犯と結託して社内情報を抜こうとしてくるかわからないことです。主な内部犯の動機は以下の通りで、これらを完璧に抑えるのは難しいです。
- 借金などの金銭的問題
- 社内の待遇に対する不満
- リストラなどに対する不満

攻撃者は社内の人間に近づき、「協力すれば数百万円をあげるよ」などと言って誘惑してきます。攻撃者はどこかから多額の報酬を提示されているので、そのうちの数百万程度を金銭的に困っている社内人材に渡せば簡単に篭絡できたりします。
じゃあ会社はどういった対策をすればいいのでしょうか。金銭的に困っているか社員の経済状況を監視する?社員全員が待遇に満足しているか常に把握する?いやいや無理ですよそんなものは。
そのため情報セキュリティにおいては圧倒的に攻撃側有利なんですよね。経営者にはぜひ外部ではなく内部犯に目を向けるように言った方がいいですね。
全体を通して
情報セキュリティに関して最初に考えてほしいことは「あなたが想定しているよりもセキュリティ対策は難しくない」ということです。ちゃんと考えられるエンジニアがいればそこまで情報の流出リスクは高くなく、適切な設定をした端末を運用すればそこまで怯える必要はありません。
ただこの設定が正しいかどうかは経験豊富なエンジニアに見てもらうようにしましょう。そのためには設定を図にまとめたりなど工夫しなければいけません。
最後に外部犯に過剰におびえるより内部犯におびえましょう。正直内部犯の方が防ぎにくいし情報流出したか分かりにくいです。また内部犯対策は非常に難しいので組織全体で対策していく必要があるでしょう。
今回の記事はここまでになります。私のサイトでは今回の記事とは全然違いますが画像処理についてなども紹介していますので興味があればぜひ見て行ってください!