AWSをはじめとしたクラウドサービスは、多くの企業で導入されています。しかしパブリッククラウドである以上、セキュリティリスクをゼロにはできません。利用の際には、自社で適切なセキュリティ対策を講じる必要があります。AWSでは非常に高いセキュリティサービスが提供されており、組み合わせることで大切な情報を守れます。
本記事では、AWSに必要なセキュリティ対策と、AWSで利用できるセキュリティ機能やサービスをご紹介します。
 |
目次 |
1. クラウドサービスにおけるセキュリティ対策の重要性
AWSをはじめとするクラウドサービスでは、セキュリティ対策が非常に重要です。
東京商工リサーチの調査によると、2023年に発生した上場企業とその子会社による個人情報の漏洩・紛失事故は175件で過去最多。漏洩した情報は4,090万8,718人分で、こちらも最多となりました。企業による情報漏洩事故は近年増加傾向にあり、原因はランサムウェアの感染や不正アクセスが53.1%と半数以上。また2023年は内部不正による情報漏洩も目立ちます。
近年情報漏洩・紛失事故が増加しているのには、クラウドサービスの利用が増えたことも背景として挙げられます。総務省の「令和3年情報通信白書」によると、2020年にクラウドサービスを利用している企業は68.7%で、多くの企業がクラウドサービスを利用しています。
多くのクラウトサービスでは厳重なセキュリティ対策を行っていますが、パブリッククラウドを利用していることから、オンプレミスと比較するとセキュリティのリスクは高いと言わざるを得ません。クラウドサービスの利用では、適切で十分なセキュリティ対策が求められます。
2. AWSのセキュリティの考え方
AWSの特徴は、セキュリティを最重要と認識し、さまざまなセキュリティ対策を施していることです。「現在最も安全に利用可能なクラウドコンピューティング環境」と称する通り、高い技術を活用して安全性とスピード感を両立した環境を整えることに尽力しています。
「アクセス制限」「検出と対応」「ネットワーク・アプリ・データの保護」「コンプライアンス」といった観点から、これらを実行するセキュリティサービスが数多く提供されています。
責任共有モデル
AWSの「責任共有モデル」とは、AWSとユーザーのセキュリティの責任範囲を示したものです。責任共有モデルでは、ソフトウェアやストレージ、データベースなど、クラウド全体のインフラセキュリティをAWS、ユーザーが保有するデータやアプリ、OS、ネットワークなど、クラウド内のセキュリティをユーザーが担うと定められています。
つまりAWSが担うのは、あくまで「基盤」となる部分のみのセキュリティであり、それ以外の部分に関しては自社で責任を追う必要があるということです。そのため、自社の責任となる部分に関しては、適切なセキュリティ対策を施さなければなりません。
AWSのベストプラクティス
AWSはベストプラクティスとして「セキュリティ」「IDとアクセス管理」「検知」「インフラストラクチャ保護」「データ保護」「インシデント対応」について定義しています。各分野に記載されている内容を理解し、遵守することで適切なセキュリティ対策ができます。
例えば「セキュリティ」で推奨されているのは、機能やコンプライアンス、データの機密性によってアカウントを分けることです。ベストプラクティスに基づいて、利用するサービスを選定することで、高いセキュリティレベルを維持することが可能です。
なお、AWSのベストプラクティスは下記で確認できます。
▼ベストプラクティス
https://docs.aws.amazon.com/ja_jp/wellarchitected/2022-03-31/framework/sec-bp.html
3. AWSのセキュリティ機能と活用方法
AWSはベストプラクティスに基づいたセキュリティ対策ができるよう、さまざまな機能を用意しています。ここでは、AWSのセキュリティ機能と活用方法をご紹介します。
IAMアカウントの作成とアクセス制御
AWSは、IAMアカウントの作成とアクセス制御ができます。IAMとは「Identity and Access Management」の略で、アクセス制御を行うサービスのことです。
IAMで作成されたアカウントには、細かく権限を設定できます。例えば、管理職や特定の部署だけがアクセスできるといったことが可能です。ユーザーだけでなく、アプリごとに操作権限を付与することもできます。これによって、関係のない人間が情報にアクセスしたり、アプリを操作したりすることを防ぎます。
IAMアカウントを作成するには、ルートユーザー、もしくはアカウント作成の権限を持つIAMユーザーとしてサインインしましょう。
なお、ルートユーザーは、AWSに関するすべての権限を持っているため、ルートユーザーとしてのサインインは極力しないことをおすすめします。普段の操作はIAMアカウントを作成して適切な権限を設け、IAMユーザーとして行いましょう。
MFA(多要素認証)の利用
AWSではMFA(多要素認証)が利用できます。MFAとは2つ以上の要素でユーザーを認証する方法で、代表的なものにワンタイムパスワードや生体認証などがあります。
基本的にAWSをはじめとしたクラウドサービスでは、サインイン時にIDとパスワードが必要ですが、IDとパスワードは他人に知られれば不正にサインインされてしまう可能性があります。多要素認証を活用することで、不正なサインインを防止できるでしょう。
AWSでは、以下のMFAが利用できます。
- FIDOセキュリティ
FIDOが認定する製品をUSBポートに設置し、指紋などの生体認証でサインイン - 仮想認証アプリケーション
スマートフォンなどのデバイスを登録し、ワンタイムパスワードを入力してサインイン - ハードウェアTOTPトークン
ワンタイムパスワードを生成するデバイスを購入し、生成されたパスワードを入力してサインイン
なお、AWSでは2024年半ばから、ルートユーザーにはMFAでのサインインを義務付けるとしています。
セキュリティグループの設定
AWSではセキュリティグループを設定することで、セキュリティを強化できます。
セキュリティグループとは、AWSのサービスに付随する仮想ファイアウォールで、内外からのアクセスや送信が適切かを判断するシステムです。基本的に許可したもの以外はすべて拒否します。プロトコルやポートの範囲などを指定して、セキュリティグループを適切に設定しておくことによって、安全性の高い通信が可能になります。
セキュリティグループはVPCを作成したときに作成され、デフォルトの設定が自動的に適用されます。初期設定は、インバウンドルールが「なし」、アウトバウンドルールが「すべての通信を許可」です。ただ、この状態のままではセキュリティが弱いため、新しくセキュリティグループを作成した方が良いでしょう。
なお、セキュリティグループはステートフルのため、許可されたアウトバウンドへの返信は自動的に許可されます。
セキュリティリスクの検知
AWSではセキュリティリスクを検知するサービスが充実しています。
独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威 2024(組織)」では「ランサムウェアによる被害」が9年連続で1位、2位が「サプライチェーンの弱点を悪用した攻撃」、4位が「標的型攻撃による機密情報の窃取」など、外部からの攻撃が多くを占めています。特にシステムの脆弱性やセキュリティの穴は攻撃されやすく、十分な対処が必要です。
AWSには、脆弱性や脅威を検知し知らせてくれるサービスや、セキュリティのベストプラクティスをチェックするサービスなどが揃っています。普段からセキュリティリスクを検知し、的確な対応をすることで、情報を守れるでしょう。
また万一インシデントが発生したとしても、原因を特定したりデータの早期復旧をサポートしたりするサービスもあります。
4. AWSで利用したいセキュリティサービス
セキュリティを重視するAWSでは、セキュリティサービスが充実しています。リスクの事前検知や監査、アカウントのセキュリティ設定、暗号キーの作成など、種類が非常に豊富です。ここではAWSで利用したい代表的なセキュリティサービスをご紹介します。
AWS IAM
AWS IAMは、AWSにおけるセキュリティの基本となるサービスで、正式名称は「AWS Identity and Access Management」といいます。先述したIAMアカウントを作成するために必要なサービスです。
AWSのサービスに対する認証や認可を細かく設定し、アクセス制限が行えます。グループを作成してグループごとに権限を付与することもできます。追加料金なしで利用可能です。
AWS WAF
AWS WAF(Web Application Firewall)は、データを保護するためのサービスです。アプリとユーザーの間に壁を作り、事前に設定したルールに基づいて脆弱性を突いてくる攻撃を防ぎます。XSSやSQLインジェクション、DDoS攻撃などに対抗可能です。
料金はウェブACL、受信したリクエスト、追加するルールの数で決まります。
Amazon GuardDuty
Amazon GuardDutyは、AWSの利用環境やアカウントを巡回し、セキュリティリスクを検知するサービスです。機械学習を利用して不審な動作やアクセスを知らせてくれます。
検知された驚異は「低・中・高」の3つに分類され、それを見ながらセキュリティ対策を考えられます。利用する際は、Amazon GuardDutyを有効化するだけです。
注意したいのは、Amazon GuardDutyが行うのはあくまで検知のみという点です。その後のセキュリティ対策については自社で行う必要があります。
料金はAWS CloudTrailの管理イベント分析数と、VPCフローログ・DNSクエリログの分析を行ったストレージサイズで決まります。
AWS CloudTrail
AWS CloudTrailは、アカウントをモニタリングし、動作履歴を記録するサービスです。最新90日間のアクティビティログを確認でき、設定をしなくても自動で稼働します。
監視されていることで内部不正の抑制が期待でき、また不正が起こった際にもログを遡ることで違反行為を確認できます。
データの量や保持期間などで料金が決定します。
Amazon Inspector
Amazon Inspectorは、セキュリティレベルを評価し脆弱性を検知するサービスです。継続的にスキャンを行ってくれるため、ほぼリアルタイムでセキュリティリスクを検知できます。Amazon GuardDutyと似ていますが、Amazon GuardDutyが環境やアカウントのログを利用して検知を行うのに対し、Amazon Inspectorは事前に脆弱性を検知することが特徴です。
料金は、EC2インスタンスの平均数や、CISベンチマークの1ヶ月あたりの評価数などで決まります。
AWS KMS
AWS KMS(AWS Key Management Service)は、暗号キーを作成・管理できるサービスです。データを暗号化し、キーを作成して閲覧や操作をすることで、高いセキュリティを維持できます。
さまざまなサービスと統合されており、統合されているサービスで利用が可能。AWS CloudTrailを有効にしていれば、キーのモニタリングもできます。
AWSのサービスは基本的に従量制課金ですが、AWS KMSに関しては月額制となっており、月額料金は1ドルです。
5. まとめ
AWSの利用には、クラウド特有のリスク対応とセキュリティ対策が必要です。AWSは特にセキュリティサービスが充実しているため、必要なサービスを導入して自社に合わせたセキュリティ対策を行いましょう。
JBCCでは、クラウドの特長を生かしたセキュリティ対策を行っています。また、運用付きクラウドサービス「EcoOne」では、導入から運用、定着化までをサポート。利用開始後も継続的にコスト最適化を行います。
AWSはセキュリティ対策が充実していますが、適切に設定されなければデータは守れません。十分なセキュリティ対策が採られているか、設定ミスはないかなどのチェックも行いましょう。
おすすめソリューション
 |
クラウド設定監査サービスマルチクラウドのIaaS環境における設定ミス等をコンプライアンス基準に基づき監査・診断し、定期レポートにて報告します。 |
 |
EcoOne 運用付きクラウドサービスクラウドベンダーの提供する様々なサービスを効果的に組み合わせて提供する、JBCCの運用付きのクラウドサービス。 |
関連記事
 |
【見逃し配信】狙われる「クラウド」 クラウド利用で高まるセキュリティリスクと対策の重要性とは?本セミナーでは、クラウドサービスを利用するためのお客様を取り巻く環境でのセキュリティ対策に関して世の中の動向やクラウドセキュリティ対策のポイントを中心に昨今のインシデントから学んだ事例を交えてご紹介させていただきます。 |
 |
【導入事例】横河レンタ・リース株式会社 様
|
またJBCCでは導入前のアセスメントに力を入れています。無料で参加できる「クラウド相談会」では、豊富な経験を持つスタッフに、クラウド移行についてのお悩みを相談可能。AWSも含め、適切なクラウドサービスをご提案いたします。
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,411社、超高速開発による基幹システム構築 480社、セキュリティ 1,110社の実績があります。 |