AWS(Amazon Web Services)やGCP(Googlr Cloud Platform)といった、パブリッククラウドを利用してITサービスを構築する際に気がかりなこととしては、セキュリティが本当に問題ないのか、という点だと思います。
ですが、AWSなどのパブリッククラウドでも、他のクラウドと同じように、きちんとセキュリティの対策を行えば、堅牢なセキュリティを担保することが可能です。
当記事では、どのような考え方で、どのようにセキュリティを担保していけばいいのか、分かりやすく記載していきます。
ですが、AWSなどのパブリッククラウドでも、他のクラウドと同じように、きちんとセキュリティの対策を行えば、堅牢なセキュリティを担保することが可能です。
当記事では、どのような考え方で、どのようにセキュリティを担保していけばいいのか、分かりやすく記載していきます。
AWS公式のAWSセキュリティ対策
AWS公式のAWSセキュリティ対策は、実は以下のホワイトペーパーに書いてあります。
参照:AWSのセキュリティベストプラクティス
ただしこのPDFは100ページととても長く、AWSに慣れていない人にとっては読みにくいこともあるかもしれません。
本記事で、セキュリティについて気を付けるべきことを、以下の3項目でわかりやすく説明していきます。
- 責任共有モデル
- アカウントのセキュリティ
- ITサービスのセキュリティ
それでは、それぞれの項目について詳しく見ていきましょう。
参照:AWSのセキュリティベストプラクティス
ただしこのPDFは100ページととても長く、AWSに慣れていない人にとっては読みにくいこともあるかもしれません。
本記事で、セキュリティについて気を付けるべきことを、以下の3項目でわかりやすく説明していきます。
- 責任共有モデル
- アカウントのセキュリティ
- ITサービスのセキュリティ
それでは、それぞれの項目について詳しく見ていきましょう。
AWS 責任共有モデルについて
AWSの責任共有モデルとは、AWSの提供者と利用者で分担し、全体のセキュリティを担保しようという考え方です。セキュリティを分担する、という考え方は少々難しいかもしれませんが、賃貸マンションと考え方が似ています。
賃貸マンションでは、マンションに防犯カメラを付ける、オートロックを付ける、といった建物のセキュリティについては、マンションの提供者が担当しています。一方で家の鍵をしっかりと閉める、といったセキュリティ対策については、マンションの入居者が担当しています。マンションの提供者と利用者で分担して、安全な住居の環境を作り上げています。
AWSの責任共有モデルも同じような考え方で、サーバが設置してあるデータセンターなどの施設はAWSが管理しているため、AWSがセキュリティを担当しており、利用者側でセキュリティ対策を行う必要がありません。一方で、EC2などのIaaSについてはOSより上のレイヤは利用者の責任となり、定期的なパッチ当て等のセキュリティ対策をする必要があります。AWSのいろいろなサービスを利用する際には、どこまで利用者側でセキュリティ対策をしないといけないのか、把握したうえで利用するといいでしょう。
AWS責任共有モデルについての説明
賃貸マンションでは、マンションに防犯カメラを付ける、オートロックを付ける、といった建物のセキュリティについては、マンションの提供者が担当しています。一方で家の鍵をしっかりと閉める、といったセキュリティ対策については、マンションの入居者が担当しています。マンションの提供者と利用者で分担して、安全な住居の環境を作り上げています。
AWSの責任共有モデルも同じような考え方で、サーバが設置してあるデータセンターなどの施設はAWSが管理しているため、AWSがセキュリティを担当しており、利用者側でセキュリティ対策を行う必要がありません。一方で、EC2などのIaaSについてはOSより上のレイヤは利用者の責任となり、定期的なパッチ当て等のセキュリティ対策をする必要があります。AWSのいろいろなサービスを利用する際には、どこまで利用者側でセキュリティ対策をしないといけないのか、把握したうえで利用するといいでしょう。
AWS責任共有モデルについての説明
アカウントのセキュリティ
AWSは、アカウントをAWS側に登録し、ITサービスを構築していきます。
アカウント情報等が攻撃者に乗っ取られてしまうと、多大な被害を被ることになります。
そのようなことにならないためにも、アカウントのセキュリティは万全にしておきましょう。
アカウントは、1つのITサービスにつき1アカウントまで、といった決まりはありません。したがって、アカウントを複数持つことも可能です。
ログを集める監査用アカウント、料金をまとめる支払い用アカウントといったように、アカウントを分割し、権限を分散させることが推奨されます。
アカウント設計はサービス公開後は変更がしにくいので、最初に設計を行っておく必要があります。
AWS Organizationsという、アカウント管理に特化したサービスがありますので、こちらを利用し、アカウント設計を行っていくといいでしょう。
アカウントへのログインは、メールアドレス+パスワードか、アカウント番号+ユーザー名+パスワードでログインが可能になります。
したがって、パスワードやメールアドレスが流出してしまうと、不正ログインを行われてしまう可能性があります。
不正ログインを防ぐためには、多要素認証(MFA)を導入しましょう。
多要素認証により、不正ログインが行われる可能性を格段に下げることが可能です。
万が一不正ログインが行われてしまった場合にも、攻撃者が不正ログインし、何を行ったかをロギングしておけば、攻撃状況の把握や、後の訴訟に備えることが可能です。
ロギングを行うには、CloudTrailというサービスを有効化しておきましょう。CloudTrailはAWSで行われた操作をロギングする機能を持っています。AWSに対する何らかの操作はCloudTrailにすべて記載されますので、どのユーザで何をやったのか、詳細に把握することができます。
アカウント情報等が攻撃者に乗っ取られてしまうと、多大な被害を被ることになります。
そのようなことにならないためにも、アカウントのセキュリティは万全にしておきましょう。
アカウントを分割する
アカウントは、1つのITサービスにつき1アカウントまで、といった決まりはありません。したがって、アカウントを複数持つことも可能です。
ログを集める監査用アカウント、料金をまとめる支払い用アカウントといったように、アカウントを分割し、権限を分散させることが推奨されます。
アカウント設計はサービス公開後は変更がしにくいので、最初に設計を行っておく必要があります。
AWS Organizationsという、アカウント管理に特化したサービスがありますので、こちらを利用し、アカウント設計を行っていくといいでしょう。
多要素認証を導入する
アカウントへのログインは、メールアドレス+パスワードか、アカウント番号+ユーザー名+パスワードでログインが可能になります。
したがって、パスワードやメールアドレスが流出してしまうと、不正ログインを行われてしまう可能性があります。
不正ログインを防ぐためには、多要素認証(MFA)を導入しましょう。
多要素認証により、不正ログインが行われる可能性を格段に下げることが可能です。
CloudTrailの設定
万が一不正ログインが行われてしまった場合にも、攻撃者が不正ログインし、何を行ったかをロギングしておけば、攻撃状況の把握や、後の訴訟に備えることが可能です。
ロギングを行うには、CloudTrailというサービスを有効化しておきましょう。CloudTrailはAWSで行われた操作をロギングする機能を持っています。AWSに対する何らかの操作はCloudTrailにすべて記載されますので、どのユーザで何をやったのか、詳細に把握することができます。
ITサービスのセキュリティ
つぎに、AWS上で構築したITサービスをどのように防御すればいいかを記載していきます。
ITサービスに対するセキュリティ対策が十分でないと、コンテンツの改ざんや、情報の流出が起きてしまいます。
ただし、AWSで用意されているセキュリティ対策のサービスを正しく利用していればそのようなことは起きません。
どのようなサービスを利用していけばいいのか、わかりやすく記載していきます。
AWSにおける認証・認可の管理はすべてIAMというサービスで行われます。
IAMに関しては、以下の2点に気を付けて利用していくといいでしょう。
- 与える権限は最小限にする
不要な権限を与えてしまうと、万が一ログイン情報や認証情報が流出した際に思わぬ被害が出てしまう恐れがあります。
- IAMユーザのアクセスキー、シークレットキーは極力作らないようにする
IAMユーザのアクセスキー、シークレットキーは、うっかり流出するリスクがあるため、特段の用件がない限り作成しないことが推奨されています。外部アカウントと連携をする場合も、可能であればIAMロールのAssumeRoleで権限を渡しましょう。
配置されるデータは極力暗号化しましょう。暗号化することで、データが流出しても読み取りが不可能になります。EBSやRDS、S3では、ワンクリックで暗号化が実装できます。AWSが暗号化のキーを自動でローテーションするので、運用も楽に行えます。
AWS WAFやAWS ShieldでITサービスへの攻撃や、DDos対策が行えます。
それぞれ、30分以内で簡単かつ安価に導入が可能です。
また、AWSではマルウェア対策のサービスは存在していません。
必要に応じてマルウェアをスキャン等ができるサードパーティのエンドポイントウイルス対策サービス導入を検討してみてください。
ITサービスに対するセキュリティ対策が十分でないと、コンテンツの改ざんや、情報の流出が起きてしまいます。
ただし、AWSで用意されているセキュリティ対策のサービスを正しく利用していればそのようなことは起きません。
どのようなサービスを利用していけばいいのか、わかりやすく記載していきます。
IAM
AWSにおける認証・認可の管理はすべてIAMというサービスで行われます。
IAMに関しては、以下の2点に気を付けて利用していくといいでしょう。
- 与える権限は最小限にする
不要な権限を与えてしまうと、万が一ログイン情報や認証情報が流出した際に思わぬ被害が出てしまう恐れがあります。
- IAMユーザのアクセスキー、シークレットキーは極力作らないようにする
IAMユーザのアクセスキー、シークレットキーは、うっかり流出するリスクがあるため、特段の用件がない限り作成しないことが推奨されています。外部アカウントと連携をする場合も、可能であればIAMロールのAssumeRoleで権限を渡しましょう。
データの暗号化
配置されるデータは極力暗号化しましょう。暗号化することで、データが流出しても読み取りが不可能になります。EBSやRDS、S3では、ワンクリックで暗号化が実装できます。AWSが暗号化のキーを自動でローテーションするので、運用も楽に行えます。
攻撃対策
AWS WAFやAWS ShieldでITサービスへの攻撃や、DDos対策が行えます。
それぞれ、30分以内で簡単かつ安価に導入が可能です。
また、AWSではマルウェア対策のサービスは存在していません。
必要に応じてマルウェアをスキャン等ができるサードパーティのエンドポイントウイルス対策サービス導入を検討してみてください。
まとめ
AWSセキュリティ対策は、基本的な3つの考え方(責任共有モデル、アカウントのセキュリティ、ITサービスのセキュリティ)を踏まえて、適切な対策を行っていきましょう。
AWSのサービスだけでも十分なセキュリティ対策が可能ですが、不安であれば適宜サードパーティのサービスも利用して、より強固なセキュリティ対策を行い、安全にパブリッククラウドを利用していきましょう!
AWSのサービスだけでも十分なセキュリティ対策が可能ですが、不安であれば適宜サードパーティのサービスも利用して、より強固なセキュリティ対策を行い、安全にパブリッククラウドを利用していきましょう!
