AWSの脆弱性対策とは？責任共有モデルや脆弱性対策などについて解説

サイバーセキュリティにおける脆弱性は、OSやソフトウェア、Webアプリケーションなどにおいて、設計上のミスやプログラムの不具合などが原因で発生する、セキュリティ上の欠陥を指しています。多くの場合、不正アクセスやサイバー攻撃は脆弱性をついて実行されるため、重大な脆弱性を対策せずに放置するのは危険です。脆弱性を放置したままで攻撃の対象となってしまえば、情報漏洩やデータの改ざん、ほかの企業へのサイバー攻撃の踏み台として利用されるなどの被害にあう可能性があるでしょう。

脆弱性は、開発者が気づいたり、第三者から通報を受けたり、攻撃者から脆弱性をついた攻撃が行われたりすることで発見されます。新しい脆弱性が見つかると、サポート期間中のサービスであれば即座にセキュリティパッチが作られ、開発者から提供されます。

サイバー攻撃にはさまざまな手口があり、脆弱性を狙った手法も少なくありません。ここでは4つの攻撃について解説します。

クロスサイトスクリプティング

脆弱性をつく攻撃のひとつに、クロスサイトスクリプティングがあります。クロスサイトスクリプティングはWebサイトの脆弱性を利用して、HTMLに悪意のあるスクリプトを埋め込む手口の攻撃です。ユーザが入力した情報を表示する仕組みになっている掲示板サイトやECサイトなどのWebアプリケーションが対象となりやすい傾向にあります。
クロスサイトスクリプティングにより悪意のあるスクリプトが仕掛けられると、訪れたユーザが情報を入力・発信する際に埋め込まれたスクリプトが実行されてしまい、ユーザの個人情報の窃取や、偽のログインフォームへの誘導といった被害を受ける可能性があります。

SQLインジェクション

SQLインジェクションも、脆弱性をつく攻撃のひとつです。SQLとは、データベースを操作するデータベース言語です。SQLインジェクションは、Webサイトに設置された入力フォームにSQL文、またはいくつかに分割された断片的なSQL文をデータベースに送り込み、データベースに保管されたデータの閲覧や窃取、改ざん、消去などを図ります。SQLインジェクションの主な被害には、情報漏洩やデータの改ざんがあり、データベースが全消去される可能性もあります。またマルウェア拡散の踏み台として悪用されることも考えられます。

バッファオーバーフロー

バッファオーバーフローも、脆弱性をつく攻撃です。バッファオーバーフローは攻撃者がサーバやパソコンに処理能力を超える大量のデータや悪意のあるコードを送り、メモリ領域内のバッファ容量をオーバーさせることで、サーバやパソコンに誤作動を起こさせる手口の攻撃です。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリは、Webアプリケーションの脆弱性を利用した攻撃です。あらかじめ攻撃用のWebページを用意しておき、ユーザが該当ページにアクセスすると、そのページに仕掛けられていた不正なリクエストが攻撃対象サーバに送信されます。不正なリクエストが送信されると、攻撃対象サーバ上のWebアプリケーションが、そのリクエストを処理してしまうことで、サービスの悪用や強制投稿、設定変更、退会など、ユーザが意図しない処理が実行されてしまいます。

脆弱性は非常に危険なものですが、リリース段階で脆弱性のない完璧なシステムを作るのは現実的ではありません。そのため、日頃から脆弱性への対策を講じておくことが重要です。ここでは一般的な脆弱性への対策を3つ紹介します。

情報収集

脆弱性への対策の基礎となるのは日頃からの情報収集です。新しい脆弱性が見つかると、脆弱性対策情報のデータベース「JVN（Japan Vulnerability Notes）」などのWebサイト上で情報が公開されます。公開される際は必ず、発見された脆弱性について、識別番号である「CVE」と深刻度を表す「CVSS」が示されます。特にCVSSが緊急レベルなら、すぐに対処が必要です。

ハードウェア・ソフトウェアの管理

しっかりとハードウェア・ソフトウェアを管理することも、脆弱性対策として重要です。開発元が脆弱性を見つけた場合、サポート期間中のサービスであれば、脆弱性が修正されたバージョンや脆弱性をなくすセキュリティパッチがリリースされます。情報をチェックし、ハードウェア・ソフトウェアを常に最新のバージョンに保っておきましょう。

脆弱性診断

攻撃を受けないためには、脆弱性診断を受けることも効果的です。脆弱性診断とは、サーバやソフトウェアなどの脆弱性を事前に発見する仕組みのことです。疑似的なサイバー攻撃を仕掛けたり、使用しているWebアプリケーションやプログラムの調査を行ったりすることで、脆弱性を発見します。新たな脆弱性がいつ見つかるかわからないので、一定の頻度で診断を受けると良いでしょう。

AWSのセキュリティ対策は、サービスの提供者と利用者が担当する範囲を明確に区分けし、それぞれの範囲に責任を持つ「責任共有モデル」という仕組みで運用されています。クラウドサービスを提供しているAWSにすべてを任せられるわけではない点に注意が必要です。
AWSが責任を負う範囲はサービスごとに異なりますが、基本的にはハードウェア、ネットワーク機器とAWSクラウドサービスを実行しているデータセンターで、サービスによってはソフトウェアも含まれます。それ以外の、ネットワーク設定やアプリケーション、データの暗号化、アクセス権限の管理といった項目については、利用者が責任を負うことになるため、しっかりと対策をとりましょう。大まかにいえば、そのサービスがIaaSなのか、PaaSなのか、FaaSなのかなどによってAWSが責任を負う範囲とユーザが責任を負う範囲が異なります。

ソフトウェアの脆弱性を診断するAWSのサービスに、Amazon Inspectorがあります。AWSの仮想サーバサービスAmazon EC2やAmazon ECR、AWS Lambdaを利用する場合は、セキュリティ対策としてAmazon Inspectorを導入すれば、脆弱性をいち早く発見して、パッチ適用の優先順位をつけることが可能です。一方で、Amazon Inspectorだけですべての脅威を防げるわけではなく、対応が難しい場合もあります。その場合は、クラウド環境のネットワーク経路上、またはEC2ホストで脆弱性対策機能を提供するトレンドマイクロのTrend Cloud Oneも併せて活用すれば、さらに高いレベルのセキュリティが実現できます。

また、AWSのセキュリティ対策としてはAmazon GuardDutyもありますが、Amazon GuardDutyはAWS環境やAWSアカウントに対するセキュリティを継続的にチェックすることで攻撃を検知する仕組みです。一方、Amazon Inspectorは、セキュリティ上のリスクになる可能性のある脆弱性を事前に検知する仕組みなので、Amazon GuardDutyとは目的・用途が異なります。

AWSのセキュリティ対策は、サービスの提供者と利用者が担当する範囲を明確に区分けし、それぞれがそれぞれの範囲に責任を持つ「責任共有モデル」となっているので、サービスの利用者であっても、範囲内のものについては自身で情報セキュリティ対策を行う必要があります。AWSの仮想サーバサービスAmazon EC2やAmazon ECR、AWS Lambdaを利用する場合は、Amazon Inspectorを用いることで、ソフトウェアに存在する脆弱性を管理・可視化することができます。
一方で、Amazon Inspectorだけでは対応できないリスクに備えるため、サードパーティのセキュリティソフトも導入するのがおすすめです。トレンドマイクロのTrend Cloud Oneは、アンチウイルスやマルウェアの検知・駆除などのセキュリティ機能に加えて、ネットワーク経路上やホストベースで実施する脆弱性対策（IPS・仮想パッチ）を備えており、AWSのセキュリティ対策に効果を発揮します。情報セキュリティリスクに備え、企業のビジネスに貢献するTrend Cloud Oneをぜひご利用ください。
また、トレンドマイクロではセキュリティに関する記事やサービス紹介資料を多数公開しています。以下のページもぜひご覧ください。