クラウドセキュリティエンジニアブログ

ニューリジェンセキュリティのクラウドセキュリティエンジニアチームが AWSなどのクラウドセキュリティについて気になることや調べたことを書くブログ

Change Managerによる変更管理と本番アクセス統制 ⑦まとめ

こんにちは、クラウドセキュリティアーキテクトの大島悠司です。

7編にわたって、弊社ニューリジェンセキュリティ株式会社で実践している、「Change Managerによる変更管理と本番アクセス統制」について紹介したいと思います。

前回の「⑥動作確認編」では、Change Mangerのリクエスト作成を行ってみて、変更管理と本番アクセス統制が可能になっているかを紹介しました。
今回の「⑦まとめ」では、これまでの内容のポイントを振り返りたいと思います。

振り返り

①動機づけ編」では、変更管理と本番アクセス統制の重要性を紹介しました。
巧妙化するサイバー攻撃だけでなく、内部不正による情報漏洩も後を絶たず、変更管理やアクセス統制は重要視されてきました。

クラウド化が加速する現在、情報を外部に置くことで不特定多数のアクセスにさらされるクラウド利用に置いて、このような統制はさらに重要になってきます。

サードパーティ製のアクセス統制ソリューションは世の中に出回っていますが、できることならコストや新規プロダクトの管理工数をなくし、クラウドネイティブ機能を使って自分たちに必要なソリューションを考えたいものです。

そこで弊社で実践している、Change Managerによる変更管理と本番アクセス統制の方法を紹介させていただきました。

②マルチアカウント&IAM設計編」では、本番アクセス統制の前提となるマルチアカウント設計とIAM設計の勘所を紹介しました。

用途ごとにアカウントを分離し、IAM設計も統制しやすい形にすることが大切です。
そして、これらはビジネス拡大に伴い変化していくものなので、組織の方向性に応じて見直しをする必要があります。

③Session Managerログイン&ロギング編」では、エビデンス取得のためのSSHを使わないインスタンス接続やロギングについて紹介しました。

SSHの鍵管理が不要になるのはもちろんですが、ログインの制御をIAMベースで管理できることがポイントです。
これにより、AWSの自動化フローに載せやすくなり、アクセス制御の管理がしやすくなります。
さらに、コマンドログを自動的に取得することで、変更管理のエビデンスとして活用することができます。

④Change Managerセットアップ編」、「⑤テンプレート作成編」、「⑥動作確認編」では、メインテーマである「Change Managerによる変更管理と本番アクセス統制」の実装方法について紹介しました。

サービス自体の仕組みや権限周りの把握が難しいですが、順を追ってゆっくり理解していけばよいです。
何より、手を動かしてみることが最重要だと考えますので、特に実装手順とハマりやすいポイントは詳細に解説しました。

アクセス統制以外の使い方

本来、Change Managerはアクセス統制に使うものではなく、アプリやインフラの変更管理に利用するものです。
しかしながら、使い方によってはアクセス統制にも活用できるということで、アクセス統制をメインに紹介させていただきました。

セットアップ時に、Change Managerにより変更が及ぶアカウントの範囲を「Entire organization(組織全体)」で指定していました。
今回変更対象はJumpアカウントのみなので、アクセス統制の観点では全組織アカウントにする必要はありません。

しかしながら、組織全体で使えるようにしているので、本来の使い方であるアプリやインフラの変更管理もこの仕組みに載せることができます。

弊社では、アクセス統制だけでなく、本番環境へのデプロイ用のテンプレートも用意してこの仕組みに載せてあります。そのため、安全で統制の取れた変更管理が常に行われています。

そのほか工夫次第ではいろいろな使い方ができますので、今後も研究開発を進めながら業務効率化に取り組んでいきたいと思います。

まとめ

7編にわたって、「Change Managerによる変更管理と本番アクセス統制」について紹介してきました。
軽い記事を執筆するつもりが、具体性や分かりやすさを求めた結果、気付いたら7編という大作になりました。

変更管理とアクセス統制や、Change Managerの実装方法や活用方法について詳細に解説させていただきましたので、セキュリティやガバナンスへの対応の一助になれば幸いです。

二ューリジェンセキュリティ株式会社では、お客様に安心してパブリッククラウドをご利用いただき、セキュアなデジタル世界を実現するための活動を行っております。
クラウドセキュリティに関するお悩みがございましたら、ぜひ弊社へご相談いただければ幸いです。

「Change Managerによる変更管理と本番アクセス統制」シリーズ全編はこちら

  1. 動機づけ編
  2. マルチアカウント&IAM設計編
  3. Session Managerログイン&ロギング編
  4. Change Managerセットアップ編
  5. テンプレート作成編
  6. 動作確認編
  7. まとめ