AWSのセキュリティ対策｜AWSが提供する主なセキュリティサービスの内容

●AWSの運用保守におけるセキュリティ対策の基礎知識

AWSを運用保守する際のセキュリティ対策については、いくつか知っておくべき前提知識があります。ここでは、AWSとユーザーとの責任分担の考え方となる責任共有モデルを中心に解説します。

・AWSの責任共有モデルの仕組み

AWSでは、クラウドサービスの提供者としてのAWSとユーザーとの間に責任共有モデルという考え方があり、責任共有モデルに基づいてセキュリティやコンプライアンスに関する責任の分界点を決めています。責任共有モデルにより、システム内でAWSがどの範囲まで責任を負うのかが明確に定義されています。

AWSにおけるセキュリティ対策を検討する際には、責任共有モデルに照らしてユーザーがどこまでの範囲でセキュリティ対策を講じるべきなのかを理解し、適切な対策を取ることが求められます。

・AWSのセキュリティ責任

責任共有モデルによると、AWSはクラウドサービスの提供者としてシステムが動く基盤であるインフラストラクチャーの管理に責任を負うことになっています。具体的には、AWSが運用されているデータセンターやそこに設置されている物理サーバー等が挙げられます。

例えば、AWSが管理するデータセンターに対してサービスレベルを厳守するための災害対策を講じることや、物理サーバーの障害復旧やセキュリティ対策についてはAWS側の責任となります。ユーザー側の視点で見ると、AWSが稼働するインフラストラクチャーの管理はAWS側に全面的に任せる形となるのです。

・AWSユーザーのセキュリティ責任

AWSのユーザーはAWSのインフラストラクチャーよりも上の階層、つまりクラウドサービス内部のセキュリティやコンプライアンスについて責任を負います。具体的には、AWS上に作成した仮想サーバー、データベース、ストレージのセキュリティ対策についてはユーザー側の裁量と責任に基づいて実施する形となります。また、AWS上のシステムに保存されるデータについても、ユーザーが責任を持って管理する必要があり、注意が求められます。

●AWSとオンプレミス環境のセキュリティの違い

クラウドサービスであるAWSとオンプレミス上のシステムでは、セキュリティ対策の考え方も大きく異なります。ここでは、いくつかの観点でセキュリティの違いについて解説します。

・セキュリティのレベル

AWSでは責任共有モデルに基づき、セキュリティ向上のための高品質なサービスが多数提供されています。ユーザー側でそれぞれのサービスを理解して選択する必要はありますが、自前で準備する必要はありません。

一方でオンプレミス環境の場合はWAF(Web Application Firewall)やファイアウォールといった仕組みの導入を、サービスの選定から自力で行う必要があります。オンプレミス環境でシステムを構築できる有識者がいない場合、AWSの方がセキュリティサービスを使える分、セキュリティの面で安全性が高くなると考えられます。

・維持管理にかかるコスト

AWSとオンプレミス環境ではセキュリティに関する維持管理コストにも違いが出るでしょう。選定するサービスや人件費にもよるため、一概に比較することはできませんが、AWSが提供するセキュリティサービスを利用する方がセキュリティ対策の維持管理にかかるコストは低くなると予想されます。

・BCP対策

AWSを利用する場合、クラウドサービスが稼働するデータセンターのBCP対策はAWS側で責任を持つ形となります。一方で、オンプレミス環境でシステムを構築する場合には、ユーザー側で設備の災害対策を行う必要があります。オンプレミス環境であっても設備を冗長化するなどの対策を実施できますが、それ相応のコストと手間がかかるでしょう。

●AWSが提供する主なセキュリティサービス

AWSではシステムのセキュリティを向上させるためのサービスが豊富に提供されています。ここでは、主要なセキュリティサービスの特徴について解説します。

・Amazon VPC (Virtual Private Cloud)

Amazon VPCは、AWSにおける仮想ネットワークです。VPCを使ってネットワークを分離させ、用途に応じてAWS上のサーバー等を隔離することができます。Amazon VPCにはセキュリティグループという、AWSリソース間での通信を制御する仕組みがあり、これによって双方向の通信を許可または拒否することが可能です。

・AWS Key Management Service (KMS)

AWS KMSは、AWSサービスにおける暗号化鍵及び復号鍵を管理するサービスです。AWS KMSでは、鍵の状態や設定についてユーザーが意識することなく使える、フルマネージド型を選択できます。また、管理される鍵はユーザー情報や作成日時などが詳細に記録されるため、証跡管理にも有効です。

・AWS CloudTrail

AWS CloudTrailは、AWSの内部で操作やイベントを記録できるサービスで、「どのユーザーが、いつ、何をしたか」を把握することが可能です。AWS CloudTrailを有効化することで、ユーザーによる不正な操作を検出しやすくなる、監査対応時の情報提供がスムーズになるなどのメリットが期待できます。

・AWS Identity and Access Management(IAM)

IAMは、AWS上で作成されるサーバー等のリソースに対するアクセスを制御するサービスです。IAMはAWSの利用主体となるアカウントを指すユーザーと、その集合体であるグループから構成されます。

また、IAMにはIAMロールというAWS上の操作権限を与える仕組みがあることも特徴です。例えば、仮想サーバーであるEC2からデータベースであるRDSに対して更新処理をかけたい場合、EC2に対して、RDSの更新を許可するIAMロールを割り当てることになります。

・Amazon GuardDuty

Amazon GuardDutyは、マネージド型の脅威検出サービスとも呼ばれ、機械学習を用いてAWSのセキュリティに対する脅威を検出するサービスです。具体的には、ランサムウェアやマルウェアなどの脅威を検出し、イベントログとして出力することで、システム管理者が迅速かつ適切に対応できます。 

・Amazon Inspector

Amazon Inspector は、Amazon EC2などのセキュリティ面での脆弱性や不正な設定内容を検出するサービスです。Amazon Inspectorで検出できる脆弱性の一例として、Amazon EC2などのAWSリソースに対して外部からアクセスされる可能性について評価する、「ネットワークの到達可能性」があります。

・AWS WAF(Web Application Firewall)

AWS WAFは、AWS上で稼働するアプリケーションの保護を目的としたファイアウォールです。AWSの外部から入る悪意のあるリクエストを識別し、DDoS攻撃や悪意のあるリクエストからアプリケーションを保護します。

・Amazon Macie

Amazon Macieは、機械学習を使用して、AWSにおけるストレージサービスであるAmazon S3内部の機密データを自動的に検出し、保護するサービスです。意図せぬ形で混入した機密データを検出することで、情報漏洩のリスクを下げます。また、機密データの有無や判別を目視で行う必要がなくなるため、セキュリティ対応の効率化にも役立つでしょう。

●AWSでは様々なセキュリティ対策のサービスが提供される

本記事では、AWSの情報セキュリティを守るための仕組みについて解説しました。AWSではセキュリティレベルを上げるために多彩なサービスが提供されています。しかし、それぞれのサービスを理解して適切に活用することが難しい場合もあるでしょう。

そこでおすすめしたいのが、サーバーワークスが提供する「サバソック」というサービスです。「サバソック」では、AWSのセキュリティサービスを最大限活用した、24時間365日の監視を行い、精度の高いレポートを提供します。そのため、AWSにおけるセキュリティ対応を実施できるとともに、業務の効率化にも効果的です。AWSのセキュリティ対策でお困りの際は、ぜひ『サバソック』の導入をご検討ください。

サバソック（マネージドセキュリティサービス）の詳細はこちら