OFFICE風太郎

日本のエンジニア、風太郎です。問題解決が飯のタネです。仕事や生活で問題解決を活用したり、問題解決の基礎となる統計とかデータ分析の話をしていきます

50代後半からのIT技術者への転身 クラウドのセキュリティについて

AWS セカンドキャリア

営業さんが言っていない3つの良くないことと良いこと

 またもセキュリティの話です。サーバーとクラウドの区別が付かない人もいます。昔レンタルサーバーを借りた人はメールサーバーが用意されていたり、その後はWordPressとか使えるようにいくつかのサービスが容易されていました。 クラウドって、もっと色々なサービスが展開されていて、それを組合わせることにより実現するんですよね。

私的クラウドの定義

 昔の人は自作というのをよくやっていました。「ラジオの製作」とか「初歩のラジオ」とかいう雑誌があって、ラジオ等の回路図や色々な電子機器の回路図、製作記事が載っていました。今考えるとそんなにラジオ作ってどうするの?という気がします。
 パソコンもそうでした。パソコンと呼ばれるより前の世代、マイクロプロセッサが効果だった時代には「CPUをICでつくる」「メモリを編む」(要注記)なんて言うこともあったそうです。やがてマイクロプロセッサが発売されると次の様な自作になってきました。

自分で回路図を作成して、半田付けやワイヤラッピングで作っていく。それがIBM互換機の時代を迎えて、ボードを組み合わせて自作するようになってきました。
 クラウドサービスっていうのは各種サービスを組み合わせて、自分のやりたいことを実現させるシステムだという風に考えます。個々の信頼されたパーツがあるから高性能で機能を実現できる。これは自作コンピュータが変化したのと似ていないこともないです。

  • ICを使ってCPUから自作していく
  • マイクロプロセッサを使って、周辺回路込みで設計して自作する
  • 作られたボード類を組み合わせて自作していく

 クラウド環境の魅力は各種パーツ(マネージドサービス)をうまく組み合わせて実現することに本領があると考えました。その点がレンタルサーバーとの大きな違いです。

セールスが言わないクラウドの大変なところ

構築が大変である。

 セールスは「すぐインスタンスが作れる」「ハードを導入するよりも期間が短い」という風にいっています。しかし、言ってくれない大変な事があり、これがクラウドサービスを構築する方と依頼する方で大きなギャップがあると感じます。
 新しいサービスを複数のパーツで構成します。一つ一つのブロックの機能はしっかりしていてもそれを組み合わせて何らかの機能を満足に動作させることは大変なことです。これはパーツを組み合わせてラジオやコンピュータを作る様なモノです。PCの自作はほぼ機能は決まっています。(WinやLinuxが動く)しかし、クラウドサービスを使った新しいモノはどうしたらいいか?設計していくことが必要なため、当然時間がかかります。

意外と高価

 マネージドサービスはそのサービスが動いたり、セキュリティホールを塞ぐなどの作業を行ってくれます。そして、簡単な設定でバックアップも取ってくれます。こういったことを自分たちで維持するのは大変です。しかしながら、それなりの料金がかかります。自分たちで行うより、工賃を考えるとずっと安くつくのですが、「今ある人はタダ」と思うような経営者や管理者がいると、「そんなの使わずにオンプレ(やEC2)でやれ」なんて言うこともあるでしょう。そうしてセキュリティなどが担保されず、いざというときに大騒ぎがおきます。その事を考えると高くはないのですが、どうしても値段に目が行ってしまいます。

セキュリティを確保するのは大変

 クラウドは米政府のデータを任されるほどセキュリティは高いと称しています。前の記事でも書きました。しかしそれにはいくつかの理由があります。 * 政府専用のリージョンがある * 個々のセキュリティサービスは正しくとも上記の様に自分で設定する必要があるため、そこをただしく出来ているという前提 * 自社側にセキュリティをしっかりしていないとそこから侵入される。  といったことです。AWSには「責任共有モデル」というのがあります。これは言い方が正しくないと思っています。正確には「責任分担モデル」でしょう。ユーザがやるべき事をやらないとしっかりした金庫の裏がベニア板だとか、一個鍵開ければ全部のドアが開いてしまうなどという可能性もあります。セキュリティ設定も標準のままだと”*”になったりしています。これは”なんでも”という意味なので、しっかりと対象のサービスを記述する必要があるでしょう。
 そういった技術力がないとセキュリティガバガバです。

セールスがあまり言わない良いところ

 本当なら良いことは言うはずですが、「縁起でもない」ような事を言うわけには行かなくてあまり宣伝していません。取引先の不幸や社員の不正行為を疑うような事は言わないのです。

天災に強い

 大企業でも複数の補完し合うデータセンターを持っているところはまずないでしょう。そこが天災の直撃受けたとしたら大変です。データは別の場所に合ったとしてもサーバーの調達から行わないといけません。
 クラウドで複数の国内リージョンとアベイラビリティゾーンを使いながら、バックアップを海外にあったとしたらどうでしょう?
 日本、米国、欧州の複数リージョンでいざというときに補える様にしておけば、人類が絶滅するかどうかの災害レベルでない限り対応できるでしょう。
 以前AWSの東京リージョンが止まったことあります。その時の考えはこちらに書きました。これは天災ではありませんが、ゲームは止まったりしましたが、金融やその他色々なシステムは動作していました。そのときはAWSの問題でとまりました。とはいえこの事から考えると、東京リージョンが壊滅するような天災があったとしても回復できるようにすることも可能です。

オンプレは人的物理攻撃の対策をしていない

 オンプレの警備状態はどうでしょうか?暴力的な破壊行為に対して守れるでしょうか?クラウドがどうしているかは存じ上げていませんが、欧州の警備会社は日本からは考えられないような武装をしているそうです。AWSなどは「場所自体を秘密にする」ということでもセキュリティを担保しています。特定の企業のマシンがどこにあるかわからないので物理的に破壊しようとするととんでもない事になります。「会社に恨みが募ってデータセンターを破壊した」なんていう行為が出てくるかもしれません。被害が甚大な割には罪は軽いです。