S3はどうセキュリティ対策する?必要性や機能などを解説
公開日
2023年7月27日
Amazon S3(Amazon Simple Storage Service、以下、S3)はAmazon Web Service(以下、AWS)が提供するクラウドストレージサービスです。広く利用されているサービスではありますが、企業が実際に利用を検討する際には、しっかりとしたセキュリティ対策を講じる必要があります。
ここでは、S3のセキュリティについて、対策が必要な理由や機能、ベストプラクティスなどを解説します。
S3とは
S3はAWSが提供するクラウドストレージサービスです。S3を利用してデータの格納や管理ができるだけでなく、Webサイトやアプリケーションなどのデータのバックアップ、復元、アーカイブのほか、動画のコンテンツ配信元としても利用可能です。まずは、S3の主な特徴について見てみましょう。
■S3の特徴
| 特徴 |
内容 |
|---|---|
| 高い耐久性と可用性 |
S3にデータを保存すると、同時に3つのデータセンターにコピーされるため、データが失われる可能性が極めて低い |
| 従量課金制 |
ストレージ容量、リクエスト数、データ転送量など、使用量に応じて料金が決まる。コストを意識した利用が可能となる |
| 容量無制限 | S3にアップロードできるファイル数やデータ量は無制限。ストレージの残容量を気にせずにすみ、複数のデバイスにデータを分けるなどの手間がかからない |
S3のセキュリティ対策の必要性
S3は高い耐久性と可用性のあるストレージサービスですが、一般的なストレージサービスと同様のセキュリティ対策は必要です。
S3はサーバレスな環境で利用できるため、OSパッチの管理が不要になったり、DoS攻撃を阻止しやすかったりするという特徴があるものの、誤って不必要に外部公開をしてしまうなどの設定ミスによって、不正なアクセスによって情報漏洩が発生したり、ウイルスがアップロードされ、感染してしまったりするリスクも考えられます。
S3のセキュリティ機能
S3にはセキュリティ対策が必要となりますが、すべてを他社のソリューションで対応する必要はありません。S3にはセキュリティ機能が備わっており、これらを活用することで一定以上のセキュリティを確保できます。ここでは9つのセキュリティ機能を紹介します。
ブロックパブリックアクセス
S3のセキュリティ機能として、ブロックパブリックアクセスがあります。意図せずS3のバケットが公開されることで機密データが公になるのを防ぐ機能です。簡単な操作で、アカウント内にある既存のバケットと、新しいバケットにブロックパブリックアクセスを設定することができ、一定のセキュリティレベルを維持して集中的に管理できます。
オブジェクトロック
S3ではオブジェクトロックによって、オブジェクトのバージョンを維持できます。オブジェクトロックは、指定した期間、オブジェクトバージョンを守る機能です。ファイル保持ポリシーを強制的に適用することで、データを強力に保護し、コンプライアンスを遵守します。
オブジェクトの所有権制御
S3では、オブジェクトの所有権の制御も可能です。オブジェクトの所有権制御を設定すると、アクセスコントロールリストが無効になり、すべてのオブジェクトの所有権がバケット所有者に移ります。
暗号化
S3は暗号化によってセキュリティを高めています。暗号化されていないバケットや一般公開されているバケット、組織外のアカウントと共有されているバケットのすべてについて、オブジェクトのアップロードを自動的に暗号化します。これにより、アクセス許可のないユーザからのデータへのアクセスをブロックすることが可能です。
データの完全性検証
S3のセキュリティ機能として、データの完全性が検証できる点も挙げられます。4つのチェックサムアルゴリズムから選択し、データの完全性を確認することが可能です。
Identity and Access Management
S3では、Identity and Access ManagementによってIDを管理することが可能です。複数のIDを統合的に管理し、アクセス権限を適切に管理します。また、リソースベースのポリシー、ユーザポリシー、またはこれらを組み合わせることで、S3リソースへのアクセス権限を管理できます。
Amazon Macie
S3のAmazon Macieは、機械学習とパターンマッチングにより、S3の機密データを大規模に検出して、セキュリティリスクを可視化できます。さらに、リスクに対して、自動的に保護することも可能です。
AWS Trusted Advisor
AWS Trusted Advisorは、S3をチェックするセキュリティ機能です。運用環境を検査し、セキュリティギャップを埋められるポイントに対して推奨事項を提示します。チェックする対象は、S3バケットのログ設定、オープンアクセスのアクセス許可、S3 バケットのセキュリティ、バージョンの状態、S3バケットの耐障害性などです。
AWS PrivateLink for Amazon S3
S3に対するセキュリティ機能には、AWS PrivateLink for Amazon S3も挙げられます。AWS PrivateLink経由でS3にアクセスすることで、オンプレミス環境から直接的にS3にアクセスすることが可能です。
S3のセキュリティベストプラクティス
S3にはさまざまなセキュリティ対策の機能があり、ユーザに対してベストプラクティスが公開されています。
ここではS3のセキュリティベストプラクティスと、モニタリングと監査のベストプラクティスを紹介します。
■S3のセキュリティベストプラクティス
| ベストプラクティスの項目 |
内容 |
|---|---|
| アクセスコントロールリストの無効化 | アクセス許可の管理と監査を簡素化できる |
| S3バケットのアクセス制御 | S3バケットが非公開であることを確認し、パブリックアクセスをブロックする |
| 最小特権アクセスの実装 | ユーザに対し、各リソースへの特定のアクションを許可する |
| IAMロールの使用 | S3にアクセスするアプリケーションまたはサービスの一時的な認証情報を管理する |
| 保管時のデータ暗号化 | サーバ側、およびクライアント側の情報を暗号化する |
| 送信時の強制的なデータ暗号化 |
HTTPS(TLS)経由で暗号化された接続のみを許可する |
| S3オブジェクトロックでのオブジェクト保護 | データの不適切な削除やミスによる削除を防ぐ |
| S3クロスリージョンレプリケーション(CRR)の使用 | 離れたAWSリージョンにデータのレプリカを作成する |
| VPCエンドポイントの使用 | S3のデータへのアクセスを制御する |
| マネージドAWSセキュリティサービスの利用 | S3のデータのセキュリティやコンプライアンスのリスクを特定、評価、監視する |
■S3のモニタリングと監査のベストプラクティス
| ベストプラクティスの項目 | 内容 |
|---|---|
| S3バケットの特定 |
すべてのS3バケットを特定し、セキュリティの状況を評価する |
| モニタリングの実装 | モニタリングツールでS3をモニタリングする |
| サーバアクセスログの記録 | S3のサーバアクセスログを有効にする |
| AWS CloudTrailの使用 |
リクエストを行ったIPアドレス、ユーザ、時間などを判断する |
| Gemsの有効化 | 設定の変更とAWSのリソース間の関係を確認し、リソース設定履歴調査、全体的なコンプライアンスの決定を実施する |
| Amazon Macieの使用 |
機械学習とパターンマッチングを使用して機密データを検出する |
| S3ストレージレンズの使用 | オブジェクトストレージの使用状況とアクティビティを組織全体で可視化する |
S3のウイルス対策ならTrend Micro Cloud One - File Storage Security™
S3のセキュリティリスクに、ウイルスがS3にアップロードされてしまう可能性が挙げられます。トレンドマイクロのTrend Micro Cloud One - File Storage Security™はこのリスクに対応するソリューションです。File Storage SecurityはS3にアップロードされるファイルに対して、自動的にウイルススキャンを実施します。
S3に設置するだけでウイルスチェックができるシンプルな仕組みで、柔軟なカスタマイズも可能です。さらに、100MBのファイルも5秒でスキャンできるため、既存のシステムでの作業時間の大幅な削減につながります。
ウェビナーによる解説
監修
福田 俊介
トレンドマイクロ株式会社 ビジネスマーケティング本部
ストラテジックマーケティンググループ
グループ長 シニアマネージャー
IPA 情報処理安全確保支援士(第000893号)、AWS Certified Solutions Architect – Professional保有。
約10年間クラウドセキュリティ領域およびエンドポイントセキュリティ領域に従事、クラウドの最新アーキテクチャに対応するセキュリティ戦略を立案、市場啓蒙を実施。これまでのセミナー登壇は100回を超える。専門領域は「クラウド」「サーバ」「仮想化」「コンテナ」「脆弱性」「EDR」「XDR」。
電子公告 | ご利用条件 | 個人情報保護方針 | Privacy and Legal |利用者情報の外部送信について | 製品使用許諾契約 |プレスリリース | サポート | サイトマップ | RSS
Copyright ©2024 Trend Micro Incorporated. All rights reserved