AWSではどうやってセキュリティ対策をする？考え方やサービスを解説

AWS（Amazon Web Services）はクラウドサービスの先駆け的存在で、2006年にAmazonがサービス提供をスタートしました。専門家による高度なセキュリティ対策で柔軟性のあるシステムを実現し、AWSが責任を持つ範囲については、情報セキュリティの問題に十分に対処できるよう設計されています。AWSのセキュリティの考え方を理解することで、セキュリティ対策が万全の状態でAWSを使用することができるでしょう。

AWSは、そのセキュリティ対策において、責任共有モデルと呼ばれる考え方を基本としています。AWSの責任共有モデルとは、AWSのシステムにおいて、AWSの責任範囲と利用者の責任範囲を分けて、責任の所在を区別するものです。

具体的には、提供者であるAWSはハードウェアやネットワーク機器、データセンターといったクラウドの基盤であるインフラに責任を持ちます。一方、利用者は自分たちが管理するデータの暗号化やアプリケーション、アクセス権の管理などが責任範囲です。これにより、利用者はハード部分の運用管理をすべてAWSに一任し、自分たちの責任範囲を限定できるため、オンプレミスに比べて各段に負担の軽減が見込めます。

負担が軽減される一方で、責任共有モデルを初めて体験する場合、何をどこまで対策すればよいかがわからず、適切な運営につながらない可能性があります。そこで、AWSでは、「AWS クラウド導入フレームワーク（AWS CAF）」といった専用のエクササイズプログラムを設け、AWSの導入や活用に向けたスキルの習得をサポートしています。

クラウドとオンプレミスの違いについて、セキュリティの観点から比較してみましょう。

オンプレミスは、自社で取り扱う情報に特殊性があり、独自のセキュリティ対策が必要な場合に向いています。ただし、初期導入コストやランニングコストがかかることに注意が必要です。また日々、進歩するセキュリティ情報に対応するため、セキュリティツールの知見やノウハウを持つ人材が求められます。

一方、AWSに代表されるクラウドは、広く開かれたサービスのため、オンプレミスの場合とはセキュリティ対策の観点が少し異なります。クラウドのサービスの場合、サービス提供会社と利用者で責任範囲が分かれているので、セキュリティ対策が必要な領域が異なるという特性を理解した上で対策をしなくてはなりません。ただし、アップデートなどの作業はすべてサービス提供者が行ってくれるため、利用者の負担が軽減されます。

では、AWSのセキュリティ対策では、どのような点に重点をおいて取り組めばよいのでしょうか。取り組みやすい対策の一例をひとつずつ見ていきましょう。

IAMアカウントを作成する

AWS Identity and Access Management（IAM）は、アクセスできるユーザーやグループを管理するためのツールです。最初に作成するAWSアカウントではなく、認証情報とアクセス権限を関連づけたIAMアカウントを個人単位で使用すると安全性が高まります。部署、職務、チーム名など必要に応じてIAMアカウントからグループを作成し、複数のアカウントをまとめて管理することもできます。

Amazon EC2ではセキュリティグループを設定する

「Amazon EC2」は、AWSが提供する仮想サーバを使用できるサービスです。Amazon EC2はクラウド上にあるサーバのため、当然ながらセキュリティ対策が欠かせません。Amazon EC2を使用する場合、まずはセキュリティグループを立ち上げます。AWSの仮想サーバへのアクセスを制御する機能があるので、インバウンドとアウトバウンド、それぞれにルールを設定してトラフィックを制御します。

マシンイメージをコピーする場合はセキュリティ対策が最新か確認する

AWSのセキュリティ対策のポイントとして、マシンイメージをコピーする場合はセキュリティ対策が最新か確認するという点が挙げられます。AWSでは、作成した「Amazon マシンイメージ（AMI）」をマスターイメージとして、複数台にコピーを展開したり、新しくサーバを構築したりすることが可能です。ただし、コピー元のセキュリティ対策の情報が古い場合、セキュリティが弱くなってしまうので、必ず最新の状態か確認する必要があります。セキュリティ対策が最新だと確認してからコピーするように注意しましょう。

AWSには、基本的なセキュリティ対策を実現するさまざまなサービスがあります。各分野のサービスについて解説します。

脅威の検出やモニタリング

「AWS Security Hub」は、AWSのサービス全体に対して、セキュリティのベストプラクティスをチェックする仕組みです。インシデントが発生を知らせるアラートを集約し、優先順位をつけて管理します。また、「AWS CloudTrail」では、アカウント作成時からのユーザーアクティビティを履歴に保存し、継続的にセキュリティをモニタリングすることができます。

ロギング・ガバナンス設定

AWSにはロギング・ガバナンス設定のサービスも用意されています。セキュリティの監視には、先述した「AWS CloudTrail」でアクティビティのログを管理するほか、悪意あるアクティビティや異常な動作を検出する「Amazon GuardDuty」が有効です。

ネットワークやアプリケーション、データの保護

ネットワークやアプリケーション、データの保護には、以下に挙げるサービスが効果を発揮します。

・AWS Network Firewall
AWS Network Firewallは、AWSが提供する不正侵入防止システム（IPS）で、AWS上の仮想ネットワークであるAmazon Virtual Private Cloud（Amazon VPC）上のアクセスを包括的に制御・監視・ロギングします。

・AWS Shield
AWS ShieldはAWS上で実行しているアプリケーションを保護します。DDoS攻撃やゼロデイ攻撃に有効な対策です。

・Amazon Macie
Amazon Macieは機械学習とパターンマッチングを利用し、機密データを検出・保護します。データセキュリティリスクを可視化し、自動的に保護する仕組みです。

・AWS Secrets Manager
AWS Secrets Managerはアクセス管理に役立つ仕組みです。データベースの認証情報やAPIキー、パスワードなどを管理し、アプリケーションやITリソースへのアクセスを保護します。

インシデントが発生してしまった場合のサービス

インシデントが発生した場合には、AWS上の疑わしいアクティビティの原因を素早く調査し、特定する「Amazon Detective」、クラウドベースのアプリケーションを迅速に復旧させてデータ損失を抑える「AWS Elastic Disaster Recovery」などが役立ちます。

AWSが提供するサービスを活用することで、一定のレベルでのセキュリティ対策が可能です。一方で、より強固なセキュリティを実現するために他の対策を検討する余地も残っています。AWSのセキュリティでカバーしきれないセキュリティ対策の余地やTrend Cloud Oneの強みを解説します。※AWSサービスとTrend Colud Oneは競合製品ではありません。

AWSセキュリティで検討すべき点

AWSのサービスにもカバーしきれない領域があります。Amazon Inspectorには、修正パッチが適用できない期間のセキュリティリスクが残ります。AWS WAFで気をつける点は、OSやミドルウェアの脆弱性対策やすり抜けられてしまった場合のセキュリティリスクです。さらに、AWS Network Firewallでは、コミュニティ作成のルール利用のリスクがあります。また、Amazon GuardDutyでは、脆弱性を狙う攻撃からの防御に関して、追加のセキュリティ対策を検討する余地が残ります。

Trend Cloud OneでAWSのセキュリティを強化できる

Trend Cloud OneのWorkload Securityは、Amazon EC 2のインスタンス上にインストールするセキュリティ対策製品です。サーバのセキュリティ対策に必要な7つの機能を１つの製品に実装しています。
具体的には、以下の機能があります。

＜Trend Cloud Oneが提供する7つの機能＞
・ウイルスの侵入を防ぐ「不正プログラム対策」
・OSやアプリケーション、ミドルウェアの脆弱性を突いた攻撃をOSのネットワーク層でブロックする「IDS・IPS」
・外部の不正なURLへの通信をブロックする「Webレピュテーション機能」
・ファイルやレジストリに改ざんが発生した際に管理者に通知する「変更監視」
・OSへの不正なログイン試行などを監視する「セキュリティログ監視」
・アプリケーションの実行をホワイトリストとブラックリストで管理できる「アプリケーションコントロール機能」
・通信の可否を判断する「ファイアウォール」

Trend Cloud OneのWorkload Securityをご活用いただけば、IDS・IPSによるAmazon EC2のホスト単位の脆弱性対策に対する強化に加え、その他のセキュリティ機能によってサーバの多層防御を実現することができます。

AWSにおいては、一定のセキュリティ対策が実施されている一方で、提供されているサービスのみでは守りきれない範囲があります。AWSのセキュリティでは守りきれない範囲がどこなのか、追加で検討すべき守備範囲はどこなのか、こちらの資料で解説しています。製品の特性を知り、AWSセキュリティで対策ができる範囲と、新たにセキュリティを強化すべき範囲を明確にしませんか？