AWSにおけるSecurity対策とは？脅威とその対策についてご紹介

AWSとは？

AWSとは、Amazon社が提供するクラウドコンピューティングサービスで、正式名称は、Amazon Web Serviceと言います。

なお、クラウドコンピューティングサービスとは、企業がシステムを構築する際に使用するサーバやストレージ、データベースなどを、データセンタなどのオンプレミスサーバではなく、クラウド上のサーバ上に構築できるサービスです。

クラウド上のサーバ、ストレージ等に対してはインターネットまたは専用回線を介してアクセスします。

クラウドコンピューティングサービスの利点は、利用した分だけ課金される従量課金という点で、企業がシステムを構築する際も、最小限のリソースからスモールスタートでシステムが構築できます。

AWSにおける脅威とは

AWSはクラウド上のサービスであり、ユーザはインターネットを通じてAWS上にあるリソースにアクセスする形になります。

そのため、AWSではインターネット等からいろいろな脅威に晒される危険性があると言えます。それらの脅威からシステムを守る必要があり、Security対策を実施することがAWSでは重要な要素となってきます。

ここから、具体的な９つの脅威を挙げて紹介していきましょう。

データの漏洩の脅威

AWSにおいて考えられる脅威の1つ目はデータの漏洩です。システムにおいて、個人情報やクレジットカードの情報など、重要な情報を扱うことも多いですが、それらの情報が漏洩する脅威があります。

この場合、攻撃者はシステムの境界線であるファイヤウォールの構成ミスやSecurityの穴などを悪用してシステムに潜入し、データを盗み出す形となります。

サービスの悪用の脅威

AWSにおいて考えられる脅威の2つ目はサービスの悪用です。サービスを悪用されるケースとしては、AWSのクレデンシャル、すなわち認証を利用したサービスの悪用が考えられます。

認証さえ突破できれば、そのユーザの権限の範囲内でAWSを好きなように操作できるからです。

実際にクレデンシャルで悪用されるケースとしては、IDやパスワードを盗まれたり、総当たり攻撃で認証を突破し不正ログインされたりするケースがあります。

DDoS攻撃の脅威

AWSにおいて考えられる脅威の3つ目はDDoS攻撃です。

DDoS攻撃とは、ウェブサイトやサーバに対して、複数のコンピュータから大量に攻撃し、そのウェブサイトやサーバの負荷を増加させて機能不全に陥らせるための攻撃です。

DDoS攻撃を受けてしまうと、そのウェブサイトやサーバにアクセスできなくなったり、ネットワークが遅延を起こしてしまったりしてビジネス的にダメージを負ってしまい、場合によっては信用面でのダメージも負ってしまうケースがあります。

内部からの攻撃による脅威

AWSにおいて考えられる脅威の4つ目は、内部からの攻撃による脅威です。

基本的に、管理者側は性善説に基づいてシステムを運用していくことが多いですが、内部に攻撃者がいてシステムを悪用する可能性も発生します。

ゼロデイ攻撃による脅威

AWSにおいて考えられる脅威の5つ目は、ゼロデイ攻撃による脅威です。

ゼロデイ攻撃とは「Zero Day Attack」とも呼ばれており、ソフトウェアに脆弱性が発見された際に、それを悪用して行われる攻撃のことです。

ソフトウェアの脆弱性が公表される前など、脆弱性の隙間をついて攻撃したり、攻撃者が脆弱性を発見したりすることでゼロデイ攻撃を受けてしまうことがあります。

XSSによる脅威

AWSにおいて考えられる脅威の6つ目は、XSSによる脅威です。

XSSとはクロスサイトスクリプティングの略で、ユーザがウェブページに入力する際にウェブページへの出力処理に問題がある場合に、そのウェブページにスクリプト等を埋め込む手法です。

攻撃者は、入力フォームのリンクにスクリプトを埋め込んでウェブページに罠を仕掛けます。ウェブサイトの訪問者がリンクをクリックした際、別のWebサイト（クロスサイト）に遷移させ、個人情報を抜き取ります。

乗っ取りによる脅威

AWSにおいて考えられる脅威の7つ目は、乗っ取りによる脅威です。

乗っ取りとはその名の通り、認証キー等が漏洩することによってサイトを乗っ取られることです。認証キーが漏洩すると、基本的に何でも操作ができてしまうので非常に脅威となります。

インジェクションによる脅威

AWSにおいて考えられる脅威の8つ目は、インジェクションによる脅威です。

インジェクション攻撃とは、脆弱性の高いプログラムにソースコードを埋め込み、不正な命令を実行するように仕向け、プログラム自体を改竄してしまう攻撃です。

よくハッキングなどに用いられる手法で、プログラムを意のままに変えられてしまう可能性があります。

マルウェア感染による脅威

AWSにおいて考えられる脅威の9つ目は、マルウェア感染による脅威です。

システムを管理するサーバがマルウェアに感染してしまうと、サーバのリソースへのアクセスができなくなったり、不正に動作してしまう脅威があります。

脅威に対するSecurity対策とゼロトラストについて

ここまで、様々な脅威を紹介してきましたが、それぞれにSecurity対策していく必要があることはお分かりいただけたでしょうか。

続いて、具体的なSecurity対策の方法を紹介する前に、ゼロトラストという考え方について見て行きましょう。

ゼロトラストとは？

ゼロトラストとは、その名前の通り「信頼しない」ということです。

今までの考え方では、システムやネットワークはクローズドな世界で利用されてきたため、基本的に安全であるはずだ、という性善説に基づいて運用されてきました。

しかしながら、クラウドの利用が増え、通信がインターネット中心にシフトしていく中で、今までのように性善説に基づいた運用が限界となってきました。

そこで、逆に性悪説に基づき、「すべてのシステムやネットワークは安全ではなく、トラフィックを信頼しないことを前提する」という考え方が生まれました。これがゼロトラストです。

ゼロトラストにおけるSecurityの考え方とは、「アプリケーションのコンポーネントやリソースが互いに分離しており、どのコンポーネントやリソースも他のコンポーネントやリソースを信頼せず、Security対策を講じる」ということです。

ゼロトラストを踏まえたSecurity対策

AWSにおいてもゼロトラストを踏まえたSecurity対策が重要となってきます。

先ほど紹介した脅威については、大きく3つの観点から対策ができます。1つ目は「外部からの侵入の防止」、2つ目は「Security状況の可視化」、3つ目は「脅威の素早い検知と復旧」です。

以下で詳しく見て行きましょう。

外部からの侵入の防止

1つ目は外部からの侵入の防止です。侵入を防止するには、まず外部からの通信を監視する仕組みの導入、シャットダウンするためのFWやIPS/IDSの導入が必要になってきます。

次に、通信レベル以外にも乗っ取りや内部攻撃者対策として認証の改善も必要になってきます。ID/PW認証だけではなく、多要素認証を導入することで、認証レベルの強化を図れます。

Security状態の可視化

2つ目はSecurity状態の可視化です。AWSでは「AWS Identity & Access Management」というサービスで、データが保存されている場所に対して、誰がいつどこからアクセスしているかを確認できます。

そして情報が保存されている場所に関係なく、常にリソースに対して適切なアクセス権を持たせられます。

脅威の素早い検知と復旧

3つ目は脅威の素早い検知と復旧です。AWSでは、脅威が発生した際に素早く検知し、自動的にある程度復旧させてくれるサービスがあります。

具体的には、「AWS Security Hub」や「Amazon GuardDuty」といったサービスになります。これらを導入することで、システムを安全に運用できます。

AWSにおけるSecurity対策の必要性

AWSはクラウドコンピューティングサービスであるため、インターネット上の多種多様な脅威にさらされるリスクがあります。それだけに、どの通信も信用しないという考え方に基づき、十分なSecurity対策を講じていくことが必要です。

それを実現するためのいろいろなサービスがAWSには用意されています。それらのサービスをうまく組み合わせながら、Security対策を万全にしてシステムを運用していきましょう。