AWS ストレージサービスのセキュリティの考え方

公開日
2022年10月6日

皆さん、こんにちは。
AWSアライアンスマーケティングを担当している藤田と申します。

今回はAWSのストレージサービスの中で、Amazon S3とAmazon FSx for NetApp ONTAPに関するセキュリティの考え方についてお伝えしたいと思います。

ウェビナ― ここだけはおさえておきたい!Amazon S3のセキュリティ対策ポイント

Amazon S3のセキュリティ対策について
Amazon S3はデータを格納・管理できるオブジェクトストレージサービスです。容量に制限はなく、ストレージのサイズを事前に決めたり余分な容量を確保しておいたりする必要はありません。また、ファイルを格納した分だけ料金が発生する従量課金制なので、無駄なコストを負担することなく常に必要な容量のストレージが利用できるAWSのストレージサービスです。

◆Amazon S3の詳細はこちら

Amazon S3の利用方法は多岐にわたりますが、ウェブサイトやアプリケーションなどのデータバックアップおよび復元、アーカイブなどに利用されることが多いです。

セキュリティを意識したいユースケースとしては、外部の不特定多数からAmazon S3にデータをアップロードすることが挙げられます。
外部から不特定多数のユーザがAmazon S3にファイルをあげる運用を取っている場合、マルウェアを仕込まれたファイルをアップロードし、社内だけでなくユーザに対してもマルウェアが拡散してしまうことが考えられます。
 

リスク例:Amazon S3を悪用したマルウェア拡散

このような拡散を防ぐためにも、Amazon S3のオブジェクトをスキャンする仕組みが求められます。

Cloud One – File Storage Security™であれば、アップロードされたオブジェクトに対しスキャンを実施することができ、外部と直接つながっているAmazon S3においてセキュアな環境を実現いたします。

本製品はAWS CloudFormationテンプレートを活用したDeployが可能です。製品構築に関わる導入工数を大きく削減することができ、すぐに利用を開始することができます。
AWS Lambdaを用いたサーバレスアーキテクチャを採用しているため、Amazon EC2にウイルス対策製品を導入し、そこでファイルをスキャンするよりも、コストパフォーマンスにすぐれます。スキャン後のアクションを、お客様の構成やワークフローに合わせて組み込むこともできます。

これらの機能を用いることで、AWS環境により適したAmazon S3環境の保護を行うことができます。

◆Cloud One – File Storage Securityの詳細はこちら

Amazon FSx for NetApp ONTAPのセキュリティ対策について
Amazon FSx for NetApp ONTAP はAWSでフルマネージド ONTAP ファイルシステムを起動して実行できるようにするストレージサービスです。

Amazon S3は大規模データの管理、Webコンテンツの配置先として活用されることが多いですが、Amazon FSx for NetApp ONTAPは社内ファイルサーバやIT および 基幹業務アプリケーションのデータ保存として活用されることが多いです。

以下は、社内ファイルサーバとしてAmazon FSx for NetApp ONTAPを利用している企業Aの例です。

社内ファイルサーバとしてAmazon FSx for NetApp ONTAPを利用している企業Aの例

本社とAmazon FSx for NetApp ONTAPはVPNで接続されており、ADサーバはオンプレミスで運用しています。

Amazon FSx for NetApp ONTAPのセキュリティリスクとして、社内システムに入り込んできたマルウェアの横展開により、保存しているファイルが感染してしまうことが考えられます。

トレンドマイクロではServerProtect for Storage on NetApp™ にて、Amazon FSx for NetApp ONTAP内のファイルに対しリアルタイムでマルウェアスキャンを行うことができます。
(対応プロトコルはSMBのみ)

◆ServerProtect for Storage on NetAppの詳細はこちら
◆Amazon FSx for NetApp ONTAP で ServerProtect For Storage を利用する場合の注意点はこちら

ただ、先ほどの企業Aの構成において、ServerProtect for Storage on NetAppのウイルススキャンだけでは十分なセキュリティ対策とはいえません。

より効果的なセキュリティを考えるためには、昨今の標的型攻撃の攻撃フェーズを考える必要があります。

<標的型攻撃の攻撃フェーズ>
①Webサーバの脆弱性をついた攻撃により社内システムに侵入する
②ADサーバを狙いネットワーク権限を奪取する
③ファイルサーバへマルウェアを書き込む
④ファイルサーバにある機密情報や個人情報を漏洩させる/ランサムウェアによりファイルを暗号化させる

標的型攻撃の攻撃フェーズを示した図

ServerProtect for Storage on NetAppでは③のフェーズに対して有効ですが、①の段階で攻撃の侵入を防ぐことがとても重要です。

ここでは①のフェーズに有効な2つの製品をご紹介します。

⑴    サーバ総合セキュリティ対策 「Cloud One – Workload Security™」
Amazon EC2のインスタンスにインストールし、アンチウイルスやIPS/IDS、EDRなどインスタンスに対する総合セキュリティ対策製品です。
ネットワーク構成を変えずに、必要な分だけAmazon EC2を保護することができます。

◆Cloud One – Workload Securityの詳細はこちら
⑵    ネットワーク型IPS/IDS 「Cloud One – Network Security™」
Amazon VPC内の脆弱性を狙う攻撃コードに入った通信を検知/ブロックします。
保護すべきインスタンスが多い環境や、コンテナ/サーバレスをご利用の環境においても、Amazon VPC環境全体を保護することができます。

◆Cloud One – Network Securityの詳細はこちら
Network SecurityとWorkload Securityが標的型攻撃の攻撃フェーズのどこに対応するか示した図

Amazon FSx for NetApp ONTAPをご利用の環境では多層防御を意識し、攻撃フェーズに合わせた対策を意識して行うことを推奨いたします。

山梨中央銀行さまのFile Storage Security の事例

ウェビナーによる解説

ウェビナ― ここだけはおさえておきたい!Amazon S3のセキュリティ対策ポイント

AWSアライアンス担当
藤田 裕樹

監修
根本 恵理子

根本 恵理子

トレンドマイクロ株式会社 セキュリティエキスパート本部
セールスエンジニアリング部 サーバセキュリティチーム
ソリューションアーキテクト

CDN業界にて大規模なWebサービスの負荷分散やパフォーマンス改善、セキュリティ対策等の提案・導入を経験した後にセキュリティ業界へ転身し7年業務に従事。Trend Cloud Oneシリーズのソリューションアーキテクトとして、クラウド全体のセキュリティ対策の検討やストレージ環境に対するセキュリティ対策の普及に注力。またトレンドマイクロとAWSのアライアンスにてTech担当をしており、共催イベント、エンジニア連携企画等のリードに従事。

関連記事

トレンドマイクロ株式会社

会社概要
お問い合わせ
製品資料請求
価格

クラウドセキュリティ製品概要

Trend Vision One

-Endpoint Security
-File Security
-Container Security
-XDR for Cloud
-Attack Surface Risk Management for Cloud

導入事例
コラム
AWS Marketplace
資料一覧
無料体験版

電子公告 | ご利用条件 | 個人情報保護方針 | Privacy and Legal |利用者情報の外部送信について | ​製品使用許諾契約 |プレスリリース | サポート | サイトマップ | RSS

Copyright ©2024 Trend Micro Incorporated. All rights reserved