AWSのセキュリティ対策|AWSが提供する主なセキュリティサービスの内容
システムの運用においては、不正アクセスやサイバー攻撃による情報漏洩などのセキュリティリスクが伴います。アマゾン ウェブ サービス(AWS)を始めとしたクラウドサービスの利用においても、オンプレミスや仮想環境と同じく情報セキュリティの対策は必須といえるでしょう。
AWSにおいては、様々なユースケースやリスクに対応するためのセキュリティサービスが豊富に提供されています。本記事では、AWSの利用における保守・運用の観点から、セキュリティ対策の基本的な内容や、AWSから提供されるセキュリティサービスについて解説します。
「AWSの概要を詳しく知りたい方はこちら」
この記事でわかること
- AWSでは責任共有モデルによって、セキュリティ面でのユーザーとAWSの責任分界点が決められている。
- AWSとオンプレミス環境では、セキュリティ対策の面で大きな違いがある。
- AWSではセキュリティレベルの向上に役立つサービスが数多く提供されている。
●AWSの運用保守におけるセキュリティ対策の基礎知識
AWSを運用保守する際のセキュリティ対策については、いくつか知っておくべき前提知識があります。ここでは、AWSとユーザーとの責任分担の考え方となる責任共有モデルを中心に解説します。
・AWSの責任共有モデルとは
AWSでは、クラウドサービスの提供者としてのAWSと利用者であるユーザーの間で、セキュリティやコンプライアンスに関する責任が明確に分担されています。これが「責任共有モデル」です。
責任の分担は大まかに以下の通りです。
AWSの責任範囲(クラウドの「中」)
- 物理的なデータセンターの管理
- ハードウェアやネットワーク設備の保守
- 仮想化基盤のセキュリティと可用性確保
ユーザーの責任範囲(クラウドの「上」)
- OSやミドルウェア、アプリケーションの設定・管理
- アクセス制御(IAMの設定など)
- 保存データの暗号化、監査ログの管理
この分担を理解しておくことで、自社がどこまでの範囲を設計・運用すべきかが明確になります。
|
お客様
クラウド内のセキュリティに対する責任
|
お客様のデータ | ||
|---|---|---|---|
| プラットフォーム、アプリケーション、IDとアクセス管理 | |||
| オペレーティングシステム、ネットワーク、ファイアウォール構成 | |||
| クライアント側のデータ暗号化とデータ整合性印象 | サーバー側の暗号化(ファイルシステムやデータ) | ネットワークトラフィック保護(暗号化、整合性、アイデンティティ) | |
|
AWS
クラウドのセキュリティに対する責任
|
ソフトウェア | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| コンピュート | ストレージ | データベース | ネットワーキング | |||||||||
| ハードウェア/AWSグローバルインフラストラクチャー | ||||||||||||
| リージョン | アベイラビリティ ゾーン |
エッジロケーション | ||||||||||
・運用・設計時に注意すべきポイント
たとえば、次のような判断・対応はユーザーの責任となります。
- IAM(Identity and Access Management)でのアクセス制御ポリシーの策定
- CloudTrailによる操作ログの記録と分析体制の整備
- Amazon InspectorやGuardDutyを使った脆弱性診断・脅威検出の導入
- 暗号鍵管理におけるKMS(Key Management Service)の適切な設定
こうした運用タスクを社内で回せない場合は、AWSパートナー企業やマネージドセキュリティサービスの利用も選択肢となります。
・AWSユーザーのセキュリティ責任
AWSのユーザーはAWSのインフラストラクチャーよりも上の階層、つまりクラウドサービス内部のセキュリティやコンプライアンスについて責任を負います。具体的には、AWS上に作成した仮想サーバー、データベース、ストレージのセキュリティ対策についてはユーザー側の裁量と責任に基づいて実施する形となります。また、AWS上のシステムに保存されるデータについても、ユーザーが責任を持って管理する必要があり、注意が求められます。
●AWSとオンプレミス環境のセキュリティの違い
クラウドサービスであるAWSとオンプレミス上のシステムでは、セキュリティ対策の考え方や責任の持ち方が大きく異なります。ここでは、「セキュリティレベル」「維持コスト」「BCP対策」の3つの視点で比較します。
・セキュリティのレベル
AWSでは責任共有モデルに基づき、各種セキュリティサービス(WAF、GuardDuty、Inspectorなど)があらかじめ用意されており、必要に応じてすぐに導入・設定が可能です。特に専門的な知識がなくても、ベストプラクティスに近い構成を短時間で実現できます。
一方でオンプレミス環境では、WAF(Web Application Firewall)やファイアウォールをはじめとしたセキュリティ機器やソフトウェアを自社で選定・導入し、継続的にメンテナンスしていく必要があります。そのため、専門人材の確保やノウハウ蓄積が不可欠です。体制が整っていない場合、クラウドの方がセキュリティレベルを効率的に担保しやすいといえます。
・維持管理にかかるコスト
AWSでは、多くのセキュリティ機能がサービスとして提供されており、インフラの保守や障害対応もAWS側で担います。そのため、自社内での運用負荷や人件費を抑えながら、高水準のセキュリティを実現しやすくなっています。
オンプレミスの場合、セキュリティ対策に関わる設備投資や保守運用の人件費が発生します。初期費用・固定費が重くなりがちで、更新や監視の自動化も自前で構築する必要があるため、長期的にはTCO(総保有コスト)でクラウドの方が優位になるケースもあります。
・BCP(Business Continuity Plan)対策
AWSでは、各リージョン・アベイラビリティゾーン単位で高可用性設計がなされており、災害対策もデータセンター単位でAWS側が担います。マルチAZ構成などを活用すれば、システムの可用性を高める設計も容易です。
一方、オンプレミス環境では、災害対策(電源・通信・バックアップ)を自社で行う必要があり、冗長構成や遠隔地へのバックアップセンター構築には相応のコストと工数がかかります。
AWSとオンプレミスでは、どちらが優れているという単純な比較ではなく、組織のリソースやセキュリティポリシー、体制に応じて最適な形を選ぶことが重要です。クラウドは、限られたリソースでも高いセキュリティを効率よく実現しやすい選択肢といえます。
●AWSが提供する主なセキュリティサービス
AWSではシステムのセキュリティを向上させるためのサービスが豊富に提供されています。ここでは、主要なセキュリティサービスの特徴について解説します。
・Amazon VPC (Virtual Private Cloud)
Amazon VPCは、AWSにおける仮想ネットワークです。VPCを使ってネットワークを分離させ、用途に応じてAWS上のサーバー等を隔離することができます。Amazon VPCにはセキュリティグループという、AWSリソース間での通信を制御する仕組みがあり、これによって双方向の通信を許可または拒否することが可能です。
※ Public/Privateサブネットの分離、踏み台サーバーの設計など、初期のネットワークセキュリティ設計において基盤となります。
・AWS Key Management Service (KMS)
AWS KMSは、AWSサービスにおける暗号化鍵及び復号鍵を管理するサービスです。AWS KMSでは、鍵の状態や設定についてユーザーが意識することなく使える、フルマネージド型を選択できます。また、管理される鍵はユーザー情報や作成日時などが詳細に記録されるため、証跡管理にも有効です。
※S3、EBS、RDSなどほとんどのサービスと統合されており、透過的な暗号化を実現。鍵の自動ローテーションも可能です。
・AWS CloudTrail
AWS CloudTrailは、AWSの内部で操作やイベントを記録できるサービスで、「どのユーザーが、いつ、何をしたか」を把握することが可能です。AWS CloudTrailを有効化することで、ユーザーによる不正な操作を検出しやすくなる、監査対応時の情報提供がスムーズになるなどのメリットが期待できます。
※CloudTrailログはS3に保存し、AthenaやAmazon OpenSearch Serviceで検索・分析可能。Security Hubとも連携できます。
・AWS Identity and Access Management(IAM)
IAMは、AWS上で作成されるサーバー等のリソースに対するアクセスを制御するサービスです。IAMはAWSの利用主体となるアカウントを指すユーザーと、その集合体であるグループから構成されます。
また、IAMにはIAMロールというAWS上の操作権限を与える仕組みがあることも特徴です。例えば、仮想サーバーであるEC2からデータベースであるRDSに対して更新処理をかけたい場合、EC2に対して、RDSの更新を許可するIAMロールを割り当てることになります。
※ポリシーは最小権限原則を守ることが基本。権限の見直しやアクセス分析には「IAM Access Analyzer」が便利です。
・Amazon GuardDuty
Amazon GuardDutyは、マネージド型の脅威検出サービスとも呼ばれ、機械学習を用いてAWSのセキュリティに対する脅威を検出するサービスです。具体的には、ランサムウェアやマルウェアなどの脅威を検出し、イベントログとして出力することで、システム管理者が迅速かつ適切に対応できます。
※CloudTrail、VPC Flow Logs、DNSログを自動的に分析。Security Hubに統合し、脅威レベルの優先順位付けも可能です。
・Amazon Inspector
Amazon Inspector は、Amazon EC2などのセキュリティ面での脆弱性や不正な設定内容を検出するサービスです。Amazon Inspectorで検出できる脆弱性の一例として、Amazon EC2などのAWSリソースに対して外部からアクセスされる可能性について評価する、「ネットワークの到達可能性」があります。
※ソフトウェアのCVE(脆弱性)スキャンが自動で定期実行され、修正優先度の判断に活用できます。
・AWS WAF(Web Application Firewall)
AWS WAFは、AWS上で稼働するアプリケーションの保護を目的としたファイアウォールです。AWSの外部から入る悪意のあるリクエストを識別し、DDoS攻撃や悪意のあるリクエストからアプリケーションを保護します。
※CloudFrontと組み合わせることでCDN+WAFの構成が可能。カスタムルールの設計とログの有効化が重要です。
・Amazon Macie
Amazon Macieは、機械学習を使用して、AWSにおけるストレージサービスであるAmazon S3内部の機密データを自動的に検出し、保護するサービスです。意図せぬ形で混入した機密データを検出することで、情報漏洩のリスクを下げます。また、機密データの有無や判別を目視で行う必要がなくなるため、セキュリティ対応の効率化にも役立つでしょう。
※分析対象のS3バケットを選び、対象データの種類(氏名、住所、カード番号など)ごとに検出精度を高められます。
- よくある使い分け・連携例
- ログ統合管理:CloudTrail → S3に保存 → Athena/OpenSearchで分析 → Security Hubで集中管理
- 脆弱性対策連携:Inspectorでスキャン → Configで設定変更監視 → Security Hubで全体俯瞰
- 脅威検出と初動対応:GuardDutyで検知 → EventBridgeで通知 → Lambdaで自動隔離処理も可能
●AWSでは様々なセキュリティ対策のサービスが提供される
本記事では、AWSの情報セキュリティを守るための仕組みについて解説しました。AWSではセキュリティレベルを上げるために多彩なサービスが提供されています。しかし、それぞれのサービスを理解して適切に活用することが難しい場合もあるでしょう。
そこでおすすめしたいのが、サーバーワークスが提供する「サバソック」というサービスです。「サバソック」では、AWSのセキュリティサービスを最大限活用した、24時間365日の監視を行い、精度の高いレポートを提供します。そのため、AWSにおけるセキュリティ対応を実施できるとともに、業務の効率化にも効果的です。AWSのセキュリティ対策でお困りの際は、ぜひ『サバソック』の導入をご検討ください。
