★☆★JNSAメールマガジン 第113号 2017.6.9 ☆★☆

こんにちは
JNSAメールマガジン 第113号 をお届けします。

「全国横断セキュリティセミナー2017」福岡会場でのセミナーが昨日終了しました。本セミナーは、マーケティング部会が企画・運営を担当しているセミナーで、経済産業省の施策や政府による補助金制度のご紹介をはじめ、SIerやセキュリティ事業者の方々、そしてユーザー企業の方々にとって役立つ情報やツールをご紹介しております。また、JNSAの活動についてもあわせてご紹介をさせていただいています。
6月26日(月)には名古屋、27日(火)には大阪でもセミナーを行いますので、ぜひ興味ある方は御参加下さい。
※午後のセミナーでは、協賛企業からのノベルティやリフレッシュメントも配布しています。

★「全国横断セキュリティセミナー2017」
・SIer・セキュリティ事業者様向け(午前)
https://www.jnsa.org/seminar/2017/cross01/


・一般企業向け(午後)
https://www.jnsa.org/seminar/2017/cross02/

さて、今回はJNSA社会活動部会セキュリティ啓発WGの松本照吾様に、「サーバレスコンピューティングにおけるセキュリティメリット」をご寄稿いただきました。


【連載リレーコラム】
サーバレスコンピューティングにおけるセキュリティメリット

セキュリティ啓発WG/松本 照吾

AWS LambdaやAzure Functionなど、サーバレスコンピューティングと呼ばれるクラウドサービスが注目を集めるようになっている。先日開催されたAmazonWeb ServicesのローカルイベントであるAWS Summit Tokyoでは会期中の一日を“Serverless Evolution Day”と称して一会場のすべてのセッションを通じて、顧客事例やアーキテクチャパターン、各種サービスの紹介を行っており、どのセッションも注目を集めていた。

■サーバレスコンピューティングとは何か
ここでとりあげる“サーバレス”と呼ばれるサービスは、開発者に対し、Node.jsやPythonなどのコードの実行環境を提供し、アプリケーションやサービスを構築して実行するのに、インフラストラクチャの管理を不要とするものである。
実際にはクラウド事業者がサーバに該当する環境の準備や運用、リクエストに応じたコンピューティングリソースを行うものであるが、開発者はインフラを意識することなく自身が開発するコードに集中することができる。つまり、“サーバが無い“というよりも”サーバを意識する必要がない“と考えた方が理解しやすい。

■サーバレスコンピューティングのメリット
こうしたサーバレスコンピューティングサービスは、従来のコンピューティングリソースのような時間課金ではなく、コードの実行時間やリクエスト件数を単位として課金されるため、例えば、従来であれば24時間365日サーバを立ち上げていたサーバインスタンスを、特定のイベントが発生したときに何らかの対処プログラムを実行するといった用途に最適である。コスト面で見れば、いつおこるかわからないイベントのためにサーバを立ち上げ続けなければいけないことはデメリット以外の何物でもない。また、サーバに対するパッチの適用なども運用の負荷を増大させることになる。

■サーバレスコンピューティングの現在
サーバレスコンピューティングの現在では、長時間の起動を前提としたプログラムよりも小規模のコード(数秒や数分程度)を実行するような、イベント駆動型とよばれるような用途が想定されている。これは、最近のシステム開発や運用が重厚長大なシステムを運用するよりも、機能を細分化し、細分化していくことで障害やサービス変更にともなっての原因究明の効率化や変更容易性を高めていくという“マイクロサービス”という手法を実現する手段として扱われている。また、本来は管理すべきインフラ管理(プラットフォームの脆弱性対応など)はクラウド事業者による統制をホワイトペーパー等により評価し、信頼するというモデルとなっている。

■サーバレスによるプロアクティブなセキュリティの実現
サーバレスコンピューティングは、インシデント発生にともなうアラートが立ち上がった時に、発見的コントロール(単なる通知)だけではなく訂正的なコントロールを実行したい(自動的に対処を行いたい)といった場合にも有効な活用が期待される。
事実、Amazon Web ServicesではCloudwatch EventsというサービスにサーバレスコンピューティングサービスであるLambdaを統合し、ログ機能の停止が実行された場合(ケースとしては、管理者IDが不正アクセスされ、証拠隠滅のためにセキュリティ機能が停止された等、運用上ありあえない状況)に、ログ機能停止のコマンドを受信したというイベントを契機に、強制的に再起動を行った上で当該行為IDの管理権限をはく奪する、といったサンプルコードを紹介している。

https://www.slideshare.net/AmazonWebServices/aws-reinvent-2016-5-security-automation-improvements-you-can-make-by-using-amazon-cloudwatch-events-and-aws-config-rules-sac401

このようなサーバレスコンピューティングを活用することは、いつおこるかわからないセキュリティイベントに対してプロアクティブに対処していく場合や、リアルタイムなコンプライアンス監査の実現のために必須のサービスとなっていくことが注目されている。

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】

★内部不正WGによるインタビュー連載「日本の人事と内部不正」を
 掲載しました。
「日本の人事と内部不正(第7回)(SCSK株式会社編)」
 https://www.jnsa.org/result/2016/surv_soshiki/index.html
 
★「マイナンバー対応のための情報ポータル」の情報を更新しました。
 https://www.jnsa.org/mynumber/

★平成29年度「電波の日・情報通信月間」記念中央式典における表彰の
「サイバーセキュリティに関する総務大臣奨励賞」にSECCON実行委員会
の受賞が決定しました。
 http://www.soumu.go.jp/menu_news/s-news/01tsushin10_02000038.html

【事務局からの連絡、お知らせ】

★「IT活用促進資金向けセキュリティ対応製品サービスリスト」を公開中!
 IT活用促進資金のセキュリティ対策要件を満たすと思われるJNSA会員
 企業が開発・販売・提供しているセキュリティ製品・サービスの一覧です。
 IT活用促進資金のご利用を検討の際にご参照ください。
 https://www.jnsa.org/it_katsuyou/

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第113号
発信日:2017年6月9日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.