アイレットは、4月22日、同社が運営するAWS導入・運用サービス「cloudpack」のセキュリティ体制をまとめた「cloudpack Security White Paper（ホワイトペーパー）」を公開した。そこで説明されている同社の強固なセキュリティ環境、内部統制の国際基準のSOC2報告書受領への取り組み、そしてこのような文書を外部へ公開する意味について、cloudpackのセキュリティを統括する齊藤愼仁氏にたずねた。

金融業界レベルの内部統制をcloudpackに

　「SOC2に取り組んでいる時点で、もはやベンチャー企業の意識ではありません。完全にエンタープライズITの世界です」。

　cloudpackというサービスにおけるセキュリティ関連の取り組みについて、アイレットの情報セキュリティ管理責任者である齊藤愼仁氏にたずねると、開口一番このようなセリフが飛び出した。同社は、情報セキュリティの第三者認証として、ISMS/ISO27001やPCI DSS Level 1 Service Providerなどを取得してきたが、現在では米国公認会計士協会が定める内部統制の国際規準であるSOC2報告書を受領すべく社内体制の整備を推し進めている。

　SOC2は、金融の大手SIerが取得するようなハイレベルな認証で、創業10年あまり、社員100人足らずの若い企業が取得に動くのは異例だ。同社が取り扱う案件のなかで、セキュリティに対する要求が厳しくなっていることの現れといえる。

　今回、同社によるホワイトペーパーの発表も、SOC2報告書受領に向けた取り組みの一つ。SOC2では、情報セキュリティをいかに担保するかを明文化し、外部に説明できる体制を整えることが求められているからだ。もちろん、ホワイトペーパーは単にSOC2のために発行されるものではない。これを読めば、cloudpackのセキュリティ体制や、ユーザーの責任範囲などを正確に知ることができるので、cloudpackのユーザーや導入検討中の企業に、疑問の解決や安心感の向上といったメリットを提供できる。

社員さえパスワードを知らない鉄壁のシステム

　ホワイトペーパーを読むと、cloudpackではセキュリティ担保のため多くの技術を採り入れているのがわかる。例えば、同社の複数の拠点は閉域網で結ばれており、あらかじめ許可された端末以外は接続できない。多要素認証を利用してユーザーを識別するため、万が一スタッフのパスワードが漏れた場合も侵入が起こりえない仕組みだ。

　さらに、スタッフがユーザーのAWS管理コンソールにアクセスする場合、ユーザーのAWSアカウントID/パスワードは用いず、閉域網内に設置した社内専用の認証ツールを必ず利用するシステムになっている。このため、インターネット側から管理コンソールを開くことはできず、社内で誰がどのユーザーの環境にアクセスしたかは完全に記録される。

　ここまで複雑な仕組みを構築したのは、内部からの攻撃に対する抑止力とするためだ。「サーバー再起動などの作業をする関係上、cloudpackのスタッフはお客様の環境にフルアクセスできるroot権限をもっています。このため、悪意をもったスタッフならお客様のシステムをいくらでも破壊できる状態にあるといえます」（齊藤氏）。もちろん、同社のスタッフがそのような暴挙に出るはずはないのだが、「もし内部に悪い人間がいたらどうするのか」と問われたとき、即座に「これだけの手を打っています」と説明できる体制があることに意味がある。

　ユーザーの環境を脅威から守るための取り組みについては、ソフトウェアのぜい弱性に関しての対応を統括するチーム「CSIRT（シーサート）」をcloudpack事業部内に設置。同社が構築したシステムに含まれるソフトウェアについて20人以上のスタッフ（兼任）が常時ぜい弱性情報を収集しており、ユーザーに影響がおよぶと判断した場合には迅速に連絡・対処する体制を整えている。本来、ユーザー自身の責任範囲であるアプリケーションのレイヤーに関しても、ユーザーの重大な不利益につながるぜい弱性を検知した場合は連絡を行うようにしているという。

他社も同じ取り組みをしてほしい

　cloudpackのセキュリティを担保するためのさまざまな取り組みは、AWSを取り扱う他のサービス事業者に対してcloudpackの優位性をさらに高めるものとなる。ただ、齊藤氏は「ホワイトペーパーは他社にも読んでいただきたいし、われわれと同じような取り組みを行う事業者がもっとたくさん出てきてほしいと思っています」と、業界全体のセキュリティに対する意識が高まることを期待している。

　齊藤氏は「AWSについていえば、米国ではすでにあらゆる分野で実績があり、AWS自身が取得している国際認証の種類も非常に多く、信頼性・安全性は保証されています」と話し、少なくともAWS自体のセキュリティには何の心配もないと強調する。一方で、「リスクがあるとすれば、われわれのような構築や運用を担う事業者。とくに、内部からの攻撃に関しては、大手だから安心ともいえません」と指摘し、そのようなリスクをいかに排除していくかが課題だと説明する。

　現時点では、今夏にもSOC2報告書を受領できる見通しという。今後は、AWSが取得している他のセキュリティ認証についてcloudpack自身としても順次追随して取得し、「世界最高レベルのセキュリティが担保される環境」を提供していく方針である。