AWS勉強会レポート Vol.1
「クラウドファースト」や「クラウドバイデフォルトの原則」が浸透し、今やクラウド環境としてお馴染みのAWS(Amazon Web Services)。これからのITエンジニアが避けては通れない「AWS知識」について、テキストによる座学だけではなく、実際にAWSを操作(ハンズオン)しながら、楽しく、そして確実に知識を身に着けて貰いたいと、熱い講師陣が開催し既に2019年1月から開催した、我が社の人気No,1勉強会でもあるAWS勉強会の第4回目をレポートします。
1.今回のテーマと内容
今回のテーマは「セキュリティとストレージサービス」です。クラウドサービスが提供され始めてからと言うものの、情報漏洩や仮想通貨ビットコインの不正アクセスなどのニュースは、記憶に新しいかと思います。また、クラウド環境は「自分自身で管理していない」「どうなってるのか分からない」と言った背景から、「セキュリティ面は安心できない…」と思う人も少なくないかもしれませんね。
でも、そんな事はありません。寧ろ「クラウド環境だから安心」だったりするのです。では、どの様にセキュリティが設計されていて、どうして強固なセキュリティと言えるのか、さっそく勉強会を覗いてみましょう。
1-1.AWSのセキュリティ
①そもそもセキュリティとは?
まず、情報セキュリティとは何でしょうか?分かり易く言うと、各会社が、社内の大事な情報を守りながら、日常業務を安全に進められることを言います。情報には「機密性」「可用性」「完全性」があり、その範囲は、データ(ユーザーのプライバシー)、コンプライアンス(法令や規則)、コスト削減(施設管理)、スケーリング(規模の調整)にまで及びます。まだ、講義も始まったばかり、講義ではいろいろ説明も加えていますが、ここまでは受講生のみなさんは、「へ~」程度のリアクションですね。
では、早速、本題に入りましょうか。
②責任共有モデル
従来は、セキュリティの設定など、ユーザが操作できる部分や、データやコンテンツなどの管理、物理的な環境(データセンター)などもユーザの責任範囲でした。ところが、AWSにおいては、その物理的な環境(データセンター)の責任さえも引き受けてくれるのです。ん?そのメリットに、もうピンと来た方が居ますね。資料見てる見てる。
では、ユーザーの責任範囲は何処になるのでしょうか?それは、管理プレーンの保護に関するセキュリティの範囲がユーザの担当になります。
・IDとパスワード ・キーペア ・APIキーの管理 ・アクセス制御と権限管理
みなさんのリアクション「え?これだけ?!」。そう。これだけなんです。
ちなみに、ユーザは、AWSのデータセンターやオフィスを訪問して、インフラストラクチャが保護されている様子を直接見ることはできません。しかし、AWSはコンピュータのセキュリティに関する様々な規格や規制に準拠しているかどうかについて、第三者の監査機関による検査を受けていて、そのレポートをユーザに提供しているので、とても安心できるセキュリティが確保出来ているのです。第三者機関の一覧を見てください。(ここで、参加者は。CSA、ISO、PCI・・・わ!こんなに多いの?!とザワついてますね。)
そう。驚きますよね。むしろ、これだけの監査を自社で行うとしたら、膨大な人件費、コストが必要になることは、詳しくないみなさんでも想像できると思います。ところが、AWSなら、これが「お任せ」なんです。おっと、みなさんの目が、いよいよ真剣になってきた。
③管理プレーンの保護
講義では、詳しくお話ししていますが、ここでは、ユーザの責任となる管理プレーンについて、具体的にどの様にしていくのかの一例だけを説明します。アクセス管理サービスとしては、ユーザのAWSクラウドリソースへのアクセス管理サービスであるIAM「 AWS Identity and Access Management 」が、AWSリソースへのアクセスを許可及び拒否を行います。AWSの内部でIAMロールとEC2を直接紐付けることができるため、キーを管理する必要がなくなるのが最大のメリットです。
AWSクラウドのセキュリティグループですが、1つ以上のインスタンスのトラフィックを制御する仮想ファイアウォールのことを言います。オンプレミス(従来の自社運用のこと)のシステムとAWSクラウドのシステムを比較した図を見てください。
AWSクラウドの枠の中は自社ではなく、全てクラウド上のAWS側で管理されます。ポイントは、従来セキュリティの確保には、膨大なコストと労力がかかっていたところに、颯爽とAWSクラウドが登場してきたわけです。
しかも、すべてのAWSのユーザは、追加料金無しでAWS Shield Standardの保護の適用を自動的に受けることができます。基本利用料が、無料なのですから、世間が飛びつかないわけが、ありませんよね。「無料」の一声で、受講しているみなさんが一斉に前のめりになってるし、分かりやす過ぎる。
AWS Shieldは、AWSで実行しているWebアプリケーションをDDoS攻撃から保護してくれるAWS WAF(Web Application Firewall)は、アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの一般的なWebの脆弱性からWebアプリケーションを保護する、マネージド型のアプリケーションファイアウォールで、当然AWSクラウドで管理されており、そして、なんと基本利用料がこれまた無料!ちょっと、みなさんの目つきがヤバい(笑)。
④S3について
S3(Simple Storage Service)について、Amazon Simple Storage Service はインターネット用のストレージサービスです。また、ウェブスケールのコンピューティングを開発者が簡単に利用できるよう設計されています。
Amazon S3 のウェブサービスインターフェイスはシンプルで、いつでも、ウェブのどこからでも容量に関係なくデータを格納および取得できます。これにより、すべての開発者が、スケーラブルで信頼性が高く、かつ高速で安価なデータストレージインフラストラクチャを利用できるようになります。このインフラストラクチャは、Amazon が使用しているウェブサイトのグローバルネットワークと同じものです。このサービスの目的は、規模の拡大や縮小のメリットを最大限に活かし、開発者に提供することだそうです。
1-2.ハンズオン
今回は、2台作成してハンズオンを行いましたので、みなさんが2台に群がる形になり、異様な活気!そして、ここでハプニングが発生!一部手順を見て先行して設定していた方が居たので、権限設定が上書きされてしまい上手く動きませんでした。そこで、何が起こっているのか講師が説明しながら、ハンズオンを行っていました。
頷きながら聞いている方や質問もあり、和やかな雰囲気で進みましたが、流石に、慣れていない方は予定していなかった状況に「あわわ」となっていましたね。でも、これもまた、勉強会の醍醐味です。逆に、とってもリアルな作業になりましたので、みなさん勉強になったのではないでしょうか。最終的には、予定していた下記の作業を完了し、講義は終了しました。
<ハンズオンのお品書き>
・S3バケットの作成
・アクセスキーとシークレットアクセスキー作成
・サンプルファイルを作成する
・S3を操作する
2.受講者の声と評価
今回の参加人数21名、辛口の受講者アンケートでは、満足度が平均「93.3点」を獲得し、「ハンズオンを行うことで理解しやすかった」「実際に自分の手を動かして学べたのが良かった。」など、多くの評価を頂きました。また、講義後に講師の元へは「自分の業務では対応していない範囲を深く学べた。」「苦手なストレージについて少し詳しくなれたような気がした。」など、受講者のもっともっと向上したいと言う意欲が報告されています。
3.勉強会で伝えたい事
セキュリティではクラウドはコスト削減、運用管理の効率化などのメリットがありながらも、データを自社のサーバに保管しないことからクラウドのノックアウト要素になっていたクラウド環境のセキュリティですが、昨今では第三者機関による安全評価や自分で行うセキュリティ対策よりもクラウド事業者へ委託した方が安全との認識が広まってきています。
どのような安全対策をとって安心を勝ち得てきたのかを理解してもらうために、ストレージではデータを永続的に補完することが出来ない場合もあるため、外部ストレージへのデータ転送をハンズオンで行いました。AWSサービス間の連携について理解して貰えた様なのでうれしいです。
(談:メイン講師の細谷明男さん)
