AWSとは
AWS(Amazon Web Service)は、世界で幅広く採用されているクラウドプラットフォームです。
AWSは、ストレージ、データベースなどのシステム開発の定番なものから、機械学習、人工知能などの新しいテクノロジーにいたるまで、豊富な製品を提供しています。このような多機能性から、スタートアップ企業から大企業、政府機関などの多くのシステム開発で採用されています。
オンプレミスとのセキュリティの違い
オンプレミスでセキュリティ対策する場合、利用者自身がセキュリティへの高度な知識と専門的な技術を取得する必要があります。
そのようなオンプレミスと比較すると、クラウドではセキュリティサービスとして利用者に提供されますので、利用者自身が運用する難易度が低くなっています。
また、AWSではAmazonがセキュリティ技術に投資しておりますので、利用者自身が負担する必要がありません。このことから、クラウドサービスを正しく利用すれば、オンプレミスよりも高いセキュリティ状態を維持することが可能となります。
AWSでのセキュリティ対策3つ
現在、日本国内でも、金融・証券サービスや基幹・業務システムを含む、多種多様な業種や企業のシステムでAWSが導入された事例があります。
そのような中、クラウド環境のメリットは理解していても、AWSでのセキュリティ対策が正しくできるか不安に感じる方も多いのではないでしょうか。
そこで、ここからはAWSでのセキュリティ対策3つについてをご紹介していきます。
AWSの導入を検討している、既に導入しているがセキュリティ面に不安があるという方は参考にされてみてはいかがでしょうか。
AWSでのセキュリティ対策1:公開鍵認証方式の利用
AWSでのセキュリティ対策の1つ目は、公開鍵認証方式の利用です。
公開鍵認証方式とは、公開鍵と秘密鍵を用いたセキュリティ情報認証です。公開鍵はサーバ側、秘密鍵はユーザ側が保持することで、ユーザがサーバへアクセスする時に身分証明として機能します。
パスワード認証では、パスワードが分かってしまえば誰でもアクセス可能となり、情報漏洩のリスクがあるのに対し、公開認証方式では、秘密鍵を持っているユーザしかアクセスができないように制御できますので、セキュリティの強化を図れます。
AWSでのセキュリティ対策2:セキュリティグループの設定
AWSでのセキュリティ対策の2つ目は、セキュリティグループの設定です。
セキュリティグループとは、EC2インスタンスを悪意のある不正なアクセスから守るための機能です。セキュリティグループは、仮想的なファイヤーウォールとして機能し、インスタンスへのアクセス許可やトラフィックの制御を行います。
AWSでは、インスタンス毎にセキュリティグループを設定できますので、各インスタンスに対して、適切な設定にすることが可能となります。
AWSでのセキュリティ対策3:セキュリティパッチを適用する
AWSでのセキュリティ対策の3つ目は、セキュリティパッチの適用です。
セキュリティパッチを適用することで、AWSサービスのセキュリティホールを塞ぐことや、ソフトウェアのバグを修正することができます。
AWSでのセキュリティでは、AWSと利用者の責任共有モデルが採用されています。そのため、AWSが運用、管理する範囲を理解した上で、利用者がどの部分を管理しないといけないのかを把握する必要があります。
利用者が担当する部分はAWS セキュリティのベストプラクティスを参考にして決めて、運用設計を行っていきます。
AWSの主なセキュリティサービス6つ
AWSセキュリティサービスを使用することで、AWSリソース内の稼働状態の監視・把握でき、かつサービスの自動化により管理するための負担が軽減されます。
AWSのセキュリティサービスは、アクセス制御やサービスのモニタリング、データの保護、自動化したインシデント対応など様々な種類があります。AWSが提供するサービスの中から個々に必要なサービスを選ぶためにも、各サービスの特徴や仕組みを理解する必要があるでしょう。
この記事では、それらのセキュリティサービスの中から6つを紹介します。
AWSのセキュリティサービス1:AWS IAM
AWSのセキュリティサービスの1つ目は、「AWS IAM」です。
AWS IAMは、ユーザー認証やアクセス許可によって、AWSリソースへのアクセスを安全に制御するためのサービスです。
AWS IAMを用いることで、どのユーザが、どのAWSリソースへ、どんな動きができるか、等を制御することができます。これにより、各ユーザのアクセス権限を最低限に抑えられます。
AWSのセキュリティサービス2:AWS Key Management Service
AWSのセキュリティサービスの2つ目は、「AWS Key Management Service」です。
AWS Key Management Serviceは、暗号化キーの作成・管理を行うサービスです。このサービスを利用することで、開発したアプリケーション内で、簡単にデータの暗号化やキー管理ができます。
ここで作成されるキーは、FIPS140-2の規格に基づき検証済みまたは検証段階にあるハードウェアセキュリティモジュールを使用して作成されますので、高い機密性と完全性を保護しています。
AWSのセキュリティサービス3:Amazon Inspector
AWSのセキュリティサービスの3つ目は、「Amazon Inspector」です。
Amazon Inspectorは、インスタンスのセキュリティやネットワーク状態を自動で診断・評価してくれるサービスです。
この評価結果は一覧で出力されるため、AWSリソースの動作や設定データについて、常に情報を入手できます。これはAWSリソースの稼働状態をより深く理解することにも繋がります。
AWSのセキュリティサービス4:Amazon GuardDuty
AWSのセキュリティサービス4のつ目は、「Amazon GuardDuty」です。
Amazon GuardDutyは、AWSサービスのデータへの悪意のあるアクセスや不正な動きなどを検知するためのサービスです。
AWSアカウントやワークロード、Amazon S3に保存されたデータをモニタリングします。これらのモニタリングは継続的に行われ、機械学習により、潜在的な脅威を識別できます。
AWSのセキュリティサービス5:Amazon Macie
AWSのセキュリティサービスの5つ目は、「Amazon Macie」です。
Amazon Macieは、特定のAmazon S3バケットに対して機密データを検出・保護してくれるサービスです。このサービスでは、機械学習やパターンマッチング手法を適用することで、個人識別情報などの機密データを自動的に検出し、保護できます。
AWSのセキュリティサービス6:AWS CloudHSM
AWSのセキュリティサービス6つ目は、「AWS CloudHSM」です。
AWS CloudHSMは、AWSクラウドで暗号化キーを簡単に作成して使用・管理するサービスです。
このサービスの暗号化キーの管理には、FIPS 140-2のレベル3認証済みのハードウェアセキュリティモジュールを使用します。CloudHSMは、不正使用防止規制のコンプライアンスにも準拠しておりますので、セキュリティへの高い信頼性や安全性の証明に役立つことも利点です。
AWSを使うときの注意点
AWSを使うときの注意点の一部を紹介します。
AWSを使いこなし、なおかつ安全なサービスを実現させるためには、AWSへの知識が必要になります。
今回紹介する注意点以外で、気になる点がございましたら、AWSセキュリティコンピテンションシーパートナーを利用すると良いかもしれません。深い専門知識と実績のあるコンサルタントからクラウド導入のあらゆるサポートを受けられます。
サーバイメージをコピーする場合
クラウド環境のメリットとして、サーバイメージをコピーすることで、一度作成したサーバを複製ができます。
しかし、サーバの起動許可、ユーザー定義のタグ、Amazon S3バケット許可がコピーされませんので注意しなければなりません。
新しいサーバに許可を付加するためには、コピー後に設定する必要があります。
アクセス権限を付与する場合
アクセス権限を付加する場合は、必要最低限の権限に限定することが、ベストプラクティスの考え方です。
ユーザーが必要とする最小限のアクセス許可に設定することで、リソースへの予期せぬアクションが行われることを避けられます。はじめからフルアクセス権限を与えるのではなく、まずは最小限からはじめ、必要に応じて付加していくことをお勧めします。
AWSでのセキュリティ対策について知ろう
この記事では、AWSでのセキュリティ対策について紹介してきました。
「クラウド環境というのは誰でもアクセス可能な環境である」ということを念頭に置き、セキュリティへの理解を深める必要があります。
そのためには、AWSが提供するホワイトペーパー、技術ガイドなどの資料や書籍が参考になります。
正しくAWSを理解することで、セキュリティの信頼が担保された環境となるでしょう。]]>
