Cloud Security Magazine
AWSのセキュリティ対策を知る!安全運用のための情報を解説
AWS
今や企業活動に欠かせないクラウドコンピューティングサービス。そのなかでもAWS(Amazon Web Services )は200を超える多種多様なサービス展開で、多くの利用者を獲得しています。一方で、気になるのがその安全性です。セキュリティ事故による情報漏えいや事業の中断といった事態は、何としても回避しなければなりません。今回はAWSの導入にあたりセキュリティ体制を確認しながら、企業としてどのような安全対策が必要となるのかを解説します。
AWS(Amazon Web Services)の基礎知識
AWS(Amazon Web Services)は、Amazon.comが提供するクラウドコンピューティングプラットフォームです。
ユーザーのリクエストに応じてコンピューティングリソースを提供し、個人から企業までの多岐にわたる活動をサポートしています。
クラウドサービスにおいてトップシェアを誇り、AWSを利用しているアクティブなWebサイトは900万以上に上るとされています。(参考:AWS市場シェア─収益と成長、競合との比較(2023年))
以下はAWSの主要な特徴とサービスです。
多様なサービス提供
AWSはコンピューティング、データストレージ、データベース、機械学習、セキュリティ、ネットワーキング、IoT、アナリティクス、開発ツールなど、多くの異なるサービスを提供しています。これらのサービスを組み合わせて、カスタマイズされた自社独自のソリューションを構築することも可能です。
柔軟性・拡張性
AWSはコンピューティング、データストレージ、データベース、ネットワーク、アプリケーション開発などのリソースを、必要に応じて利用することができます。AWSの各サービスを必要に応じて活用することで、事業の柔軟性や拡張性が高まります。企業活動における需要の変動に対応することができるでしょう。
グローバルインフラストラクチャ
AWSでは世界中にデータセンターを展開しており、ユーザーは自動的に、地理的に近い地域のサーバーを起動して使用します。これによって通信における遅延は最小限に抑えられています。
Pay as you go(従量課金制)
AWSの利用では通常、使用したリソースに対してのみ料金を請求し、契約期間や事前のコミットメントを必要としません。ユーザー側ではコストを最小限に抑えつつ、必要なリソースだけを利用することができます。
AWSの共有責任モデルとは
続いてAWSのセキュリティを理解するための、共有責任モデルの考え方を説明します。
共有責任モデルの基本となるのは、責任範囲の明確化です。AWSではクラウドコンピューティングサービスを利用するにあたり、提供する側と利用する側それぞれが所定の範囲で責任を分担するという考え方を採用しています。
AWSの共有責任モデルとは、AWSクラウド上でセキュリティとコンプライアンスを確保するための責任が、AWSとAWSのユーザーとで共有されている方法を示すフレームワークです。このモデルにより、セキュリティに関する責任を明確に分けることができ、ユーザーとAWS自体がどの部分に責任を負うべきかが理解されやすくなります。
それぞれ、責任の範囲は以下のとおりです。
AWSの責任 :クラウドの基盤を守る
物理的なデータセンターとネットワークインフラストラクチャのセキュリティを対象とします。
AWSの物理インフラ設備がおかれているデータセンターは、自然災害が起きにくく環境リスクが低い場所が選ばれています。また、保安要員、防御壁、侵入検知、監視カメラ、多要素認証など様々なセキュリティで保護・監視されており外的な攻撃からも守られています。
またAmazon EC2、Amazon S3、Amazon RDSなど、AWSサービスのセキュリティやAWSのグローバルインフラストラクチャに対するバックアップ体制や空調管理などの物理的なセキュリティを提供しています。
ユーザーの責任:認証や脆弱性対策
ユーザー側は、AWSリソースのセキュリティグループ、ネットワークACL、アプリケーションレベルのアクセスコントロールといった、AWSサービスの設定と構成に関するセキュリティが責任範囲となります。
具体的にはユーザー使用データの暗号化、バックアップ、復旧対策やインフラストラクチャとアプリケーションのパッチ適用を通じた脆弱性の管理を行います。
インフラストラクチャ内でのアクセス制御、ユーザーアクセス管理、IAM(Identity and Access Management)の設定や、カスタマーアプリケーションのセキュリティパッチ、アプリケーションコードのセキュリティは、ユーザーが責任をもつことになります。
このように共有責任モデルにおいて、AWSは基盤としてのセキュリティを提供し、ユーザーは自身のアプリケーションやデータのセキュリティを確保するための設定や運用を行います。
セキュリティインシデントの際には、責任がどちらにあるのかを明確に理解することが重要です。
【責任共有モデル】
代表的なAWSセキュリティサービス
代表的なAWSセキュリティサービスを紹介します。
AWS Identity and Access Management (IAM)
AWSのアクセス管理サービスで、ユーザー、グループ、ロールなどを作成し、それぞれに対してアクセス許可を設定します。例えば管理画面にログインするといった場合に、パスワード設定を通じてアクセスを制御し、適切なユーザーに権限を付与できます。
AWS CloudTrail
AWSアカウント内でのAPIアクションを監査し、ログを記録するサービスです。この機能は、誰がAWSリソースにアクセスしたか、何を変更したか、いつそれが行われたかをトラッキングし、セキュリティインシデントの検出やコンプライアンス要件を満たすために貢献します。デフォルトでは90日まで履歴が記録されますが、機能の有効化によって記録範囲を広げることができます。
セキュリティグループ
AWSの仮想ファイアウォールルールを管理するためのサービスです。セキュリティグループを使用して、EC2インスタンスやRDS(データベース)などのAWSリソースに対するネットワークトラフィックの許可および拒否を制御できます。
AWS WAF (Web Application Firewall)
Webアプリケーションを対象に、脆弱性を突く攻撃から保護するためのファイアウォールサービスです。AWS WAFを使用することで、SQLインジェクション、クロスサイトスクリプティング(XSS)、不正なボットのトラフィックなどからアプリケーションを保護します。
Amazon GuardDuty
ログの大量取得・分析を行うセキュリティインテリジェンスを活用して、AWSアカウント内の異常なアクティビティや潜在的なセキュリティリスクを検出するマネージドサービスです。不正アクセス、不審なトラフィック、マルウェアの活動などを自動的に監視し、アラートを発行します。
Amazon Inspector
セキュリティおよびコンプライアンスの評価を実行するサービスです。EC2インスタンスやアプリケーションに対して自動的にセキュリティの脆弱性をスキャンし、コンプライアンスルールに適合しているかどうかを評価。必要に応じてアラートを発行します。
AWS Key Management Service (AWS KMS)
データの暗号化キーを生成、管理、使用するためのサービスです。KMSを使用することで、データの暗号化及び復号、キーのローテーション、アクセスコントロールを効果的に管理できます。
AWSにおけるセキュリティ上の信頼性と脆弱性
脆弱性に関する要点と、脆弱性の検査・発見について解説します。
AWSの脆弱性とセキュリティ事故に関する要点
AWSでセキュリティ事故が発生するもっとも一般的な原因は、人為的なミスによってシステムの脆弱性をつかれるケースです。
2022年にはAWS移行時のサーバーの設定ミスにより、企業向け研修サービスのサーバーに保存されていた約25万人の個人情報がGoogle検索できる状態になるという事故が発生しました。
設定ミスを防ぐためには、セキュリティポリシーの策定や社員教育が重要となりますが、人為的なミスをゼロにすることは容易ではありません。そのため、AWSの安全性を高める設定や脆弱性の発見に焦点を当てる必要があります。
AWSを安全に使うための設定要点
AWSを安全に使うために、セキュリティグループを活用して通信制御を行います。単純なパスワードを避けることや多要素認証を使用するなど、パスワード認証を強化することで安全強度が高められます。
rootアカウントではなく、前述したIAM(Identity and Access Management)を使用し、アカウントを個人単位で発行することも安全に関するリスク分散に役立ちます。
AWSに潜む脆弱性を検査・発見する方法
脆弱性診断を実施して、ネットワークやソフトウェアの脆弱性を検出することでいち早く異常に対処できます。
AWSが提供する脆弱性診断サービスの「Amazon Inspector」を活用して、脆弱性をスキャンし、セキュリティを強化することで重大な事故による損失を回避します。
セキュリティインシデントの原因は設定ミスがほとんどで、その脆弱性をついて攻撃されています。セキュリティリスクにおいて、こうした設定ミスを原因とした被害がもっとも多くなっています。システムを安全に維持運用していくためには、脆弱性があることを認識し、可能な限りの対策を実施していくことが重要です。
AWSのセキュリティ強化にはユーザー側の意識が重要
AWSのセキュリティについては、AWS側とユーザー側の双方で責任範囲を決め、共有するという方針をとっています。AWSには暗号化など一定のセキュリティ対策が施されていますが、ユーザー側での対策も必要です。クラウドセキュリティサービスを活用することで、設定ミスを検知し、リスクが顕在化する前に対応することができるようになり、AWSを安全に運用することが可能になります。
Cloudbaseでは、クラウド利用時におけるリスクを統合的に監視・管理できるセキュリティプラットフォームを提供しています。AWS導入にあたりセキュリティに不安を感じるときには、ぜひご活用ください。