この記事の目次
AWSセキュリティグループを知ろう!~概要・設定~
当記事では、通販でお馴染みのAmazon社が提供するクラウドコンピューティングサービス、Amazon Web Services(以下AWS)のセキュリティグループ機能を解説していきます。
初心者の方にもわかりやすいように、概要と設定の流れまで解説いたしますので参考になさってください。
AWSセキュリティグループの解説にあたって
今回解説するAWSセキュリティグループに触れるにあたって、AWS、クラウドコンピューティングやセキュリティについての理解が不可欠です。
そこで、軽く前提知識に触れておきますので、不要な方は次章へお進みください。
そもそもクラウドコンピューティングサービスとは
イメージとしては物流で言う『倉庫の貸し出し』に当たります。例えば1台のノートパソコンやスマートフォンには、保存できる情報の量に限りがあります。皆さんもスマートフォンの容量が足りないという通知を受けて写真を消す、などの経験があるでしょう。 この問題を解決するのがクラウドコンピューティングで、インターネット上に巨大な倉庫を作りあらゆる情報を保存するというものです。これにより情報を1か所に保存し、インターネットに接続できればどんな場所からでも、あらゆる電子機器で情報にアクセスできるようになります。 つまり、クラウドコンピューティングサービスとは、このコンピュータの『倉庫』とそれに付随する機能を貸し出してくれるサービスの総称です。AWSの概要
AWSはクラウドコンピューティングを扱うサービスとして、高いシェア率を誇ります。そのサービスは幅広く、単純なデータの保存からその膨大なサーバと処理速度の貸し出しまで様々です。 例えば、プログラミングからビジネスの分析、機械学習などを全てクラウド上、つまり、利用者のコンピュータに負荷をかけることなく行えます。 また、サービス利用者同士のコミュニティも存在しており、過去の技術のシェアなども盛んに行われています。セキュリティも軍や銀行での使用に耐えうるほどに強力で、それぞれの技術革新も高速で、14年の運用を経て信頼性も確かなものです。 今回解説するのはそんなAWSのセキュリティグループについてということになります。セキュリティグループとは
電子機器のセキュリティというものは、かなり一般に根付いてきました。しかし、セキュリティグループというものに、聴きなじみのない方もいらっしゃるのではないでしょうか。
まずセキュリティというものは基本的に、外部からの攻撃に対して内部の情報を守るものです。それを、個人のクラウドのデータを守るためにグループ化あるいはグループ分けしたものがセキュリティグループだと考えてください。
例えば、あなたがあるクラウドサービスにサーバ(先ほどで言う倉庫)を借りているとします。そしてその倉庫の数は300で、それぞれに違うデータが入っています。あなたはその倉庫内のデータを守るためにセキュリティをかけたいとします。
ところが、そのクラウドサービスを利用しているのはあなただけではありません。そこには1万の倉庫があるとして、そこを管理しているのは当然クラウドサービスを運営している企業です。
このようなときに、あなたが借りている300の倉庫だけを切り出して好きなようにセキュリティを構築できるようにすることを、セキュリティグループを作成すると言います。
また、300の倉庫それぞれに1つずつセキュリティの設定を組むのはあまりにも大変です。そこで、300の倉庫をどのようにセキュリティをかけたいのかでグループ分けし、それぞれに一括で当てはめることもセキュリティグループを作成すると言えます。
AWSセキュリティグループの特徴とは?
ここで本題に入ります。AWSにおいてのセキュリティグループの特徴は以下の4つです。
①AWSにおいて、セキュリティグループはVirtual Private Cloud(VPC)を保護する主要なファイヤーウォールです。
インバウンド(入ってくる通信)だけでなくアウトバウンド(出ていく通信)までも管理できるのがその大きな特徴で、高いセキュリティレベルを必要とするときに心強い味方です。
②IPアドレス、または、セキュリティグループ同士で通信の許可か否かの設定ができ、AWS上での情報のやり取りとAWS外部との情報のやり取りの両方をしっかりとカバーできます。
また、同一VPC上の複数のインスタンスを1つのセキュリティグループに入れると、そのインスタンス間での通信は一切制限されなくなるという、AWS独自のシステムもあります。
③ステートフルという特徴を持ちます。これは例えば、インバウンドを制限している相手にこちらからアウトバウンド的な通信をした場合、それに返信するためのインバウンド通信は自動的に許可されるというものです。
これにより、アウトバウンドまで制御できる高レベルなセキュリティグループにもかかわらず、そのセキュリティにスムーズな操作を邪魔されるといった機会を格段に減らしています。
④ステートフルだという特徴から生まれる脆弱性などを補うための機能として、Network ACLという別の機能を持ちます。
こちらはセキュリティグループとは全く別の機能ですので割愛しますが、柔軟性と強固なセキュリティを両立させるための仕組みがあることを理解してください。
AWSセキュリティグループの設定方法
ここでは、AWSセキュリティグループの大まかな設定の流れを解説します。設定自体は非常にシンプルです。
①公開したいデータを用意します。
②ルートテーブルなどの設定から順にこなしていって、セキュリティサービスの設定画面にたどり着きます。
③インバウンド、アウトバウンドそれぞれにタイプを選択します(通常のweb公開ならHTTPなどのようにします)。このとき、公開する先それぞれに項目を作っておくと便利です。
④必要ならばプロトコルやポートを設定します。デフォルトで設定されており、設定する必要のないことがほとんどです。
⑤ソースに対象のIPアドレスかセキュリティグループを設定します。
これにて必要な作業は終了です。設定後は、いつでも設定内容の変更、削除が可能です。
補足として、アウトバウンドの設定を使用する機会は一般にはほとんどないでしょう。デフォルト設定で全てに対して許可となっていますので、よほど高いセキュリティが必要なときを除いてそのままで結構です。
AWSセキュリティグループのメリット
セキュリティグループのメリットを解説する前に理解していただきたいのが、セキュリティはその存在そのものがメリットです。AWSのセキュリティグループだからこそのメリットをご紹介します。
AWSのセキュリティグループを使うメリットは、なんと言ってもその柔軟性にあります。特徴にも挙げた通り、インバウンド、アウトバウンドでの通信制限を用いてその強度にふり幅をつけられるにもかかわらず、ステートフルに面倒な手続きをなくしてくれます。
また、世界有数のAWSが開発しているので、その信頼性も高く、技術革新も早いペースで行ってくれます。
AWSセキュリティグループのまとめ
WSを利用されている皆さんは、追加のコストなしで優秀なセキュリティグループシステムを使えます。手間を惜しまず、フルに活用してご自分の財産である情報を守りましょう。]]>
