AWSを使っている人が絶対にやっておくべきセキュリティ対策

2018.06.08

Webセキュリティ

AWS-web-security

AWSはAmazon Web Serviceの略で、クラウドコンピューティングの代表格的なサービスです。
クラウドコンピューティング市場の約3割をAWSが占めていると言われていますから、そのシェアの大きさはかなりのものです。
一昔前に比べると、自社システムをクラウド上に構築するのに前向きな起業も増えてきたのではないでしょうか。
こうなると、心配なのがセキュリティです。クラウド上にシステムを構築するとなれば、真っ先に気になるところでしょう。
今回は、AWSを使う場合に知っておきたいWebセキュリティについてご紹介いたします。

目次

1.クラウドのセキュリティはオンプレより低いのか

クラウドはインターネット上に構築された仮想コンピュータ環境です。
社内ネットワークのようにインターネットから切り離された環境でなく、オープンな環境であるため、基本的に誰でもアクセスできます。
この点から考えると、クラウドのセキュリティはオンプレミスのシステムより低いのではないか、と心配になってもおかしくありません。

実際のところ、誰でもアクセス可能であるという点には、常に配慮が必要です。
この点について設定などのミスをすると、危険度はオンプレミスよりずっと高くなります。

しかし、全体的に考えるといくつかの理由から、オンプレミスのシステムよりむしろセキュリティが高いと考えられます。

最初の理由は、複雑に構成されたサーバのすべてを、アプリケーションに影響すること無く最新のセキュリティパッチが適用された状態に保つことが非常に困難である点です。
オンプレミスの場合、これを社内のシステム運用管理者が行わなければなりません。そのためには高度な知識と専門的な技術が必要になります。
AWSの場合は、これをAmazon社の責任で行なうため、利用者はこうした高度な運用の責任から解放されます。
結果、オンプレミスよりもセキュリティが高い状態を維持できると考えられるわけです。

次に、高セキュリティを実現するための投資負担が上げられます。
オンプレミスの場合、自社の責任と費用でセキュリティを高める必要がありますが、セキュリティへの投資は際限がありません。どれだけ費用をかけても完璧にはならないので、どこかで費用と効果の折り合いをつけなければいけません。この投資負担の限界が、オンプレミスのセキュリティ限界とも言えます。
その点、AWSはAmazonがセキュリティを限界まで引き上げるよう投資しているため、利用者の負担はほとんどありません。こうしたことから、クラウドのセキュリティはオンプレより低いどころか、運用を誤りさえしなければむしろ高いと考えられます。

2.AWSを使う上での注意点1 セキュリティグループ設定

セキュリティグループとは、AmazonクラウドサービスのひとつであるEC2で設定できる、AWS標準のファイアウォールの機能です。
セキュリティグループを設定すると、EC2インスタンスへのアクセス許可や、トラフィックの制御といったことを行なうことができます。
セキュリティグループには、送信元、送信先のIPアドレスや、どのプロトコルを通過させるのかといったファイアウォール的な内容を設定することができます。

AWSを使う上で、まず注意したいのがこのセキュリティクラウドの設定ミスです。
特に、開発時やメンテナンス時に一時的に開いたポートをうっかり閉じ忘れたりする、運用ミスは非常に危険です。
社内ネットワークと違い、AWSはパブリックネットワークですので、攻撃者のポートスキャンに常に晒されていると考えるべきでしょう。
こうした不用意に開いたポートは、攻撃者から格好の標的にされます。
こうしたメンテナンス時は、利便性を優先して、どこのIPアドレスからの要求も受けるように設定しがちです。(送信元アドレスのフィルタリングをわざと設定しない)

この場合、先ほどの不用意に開いたポートへの攻撃確率は格段に上がってしまいます。
例えIPアドレスを公開していなくても、攻撃者は常に侵入に利用できるポートをスキャンしていますので、発見されるのは時間の問題です。
また、AWSは企業内のシステムと相互に接続されていることも多々あります。
こうした場合、AWSへの侵入を許してしまうと、そのまま社内システムへ侵入される恐れもあります。
困ったことに、ポートは絞り込みすぎればすぐに気がつきますが、開きすぎている場合はなかなか気づきません。日頃からの管理が重要というわけです。

AWSを安全に使用するためには、セキュリティグループの設定・管理が必要不可欠です。十分に注意しましょう。

2.AWSを使う上での注意点2 パスワード認証

オンプレミスの環境なら、パスワードは手軽でかつ強力なセキュリティとなります。
しかし、AWSのようなオープンネットワークの場合、そうはいきません。
攻撃者はパスワードを特定するためのツールを持っています。簡単なパスワードならあっという間に突破されてしまうでしょう。
例え複雑で十分に長いパスワードを設定したとしても、パスワード解析の自動ツールを使われてしまうと、時間をかければ突破されてしまう危険性が高いと考えたほうがよいでしょう。

AWSではパスワード認証に頼りすぎず、公開鍵認証方式を利用したほうが安全性が格段に高くなります。

公開鍵認証方式は、AWSとユーザの間で保有する公開鍵、秘密鍵を作成してお互いを認証し合う、非常に安全性の高い方法です。
ユーザ側で鍵を生成する手間はかかりますが、その手間を惜しまず、公開鍵認証方式を使用したほうが格段に安全になります。AWSではパスワード認証だけに頼らずに、公開鍵認証も行っておきましょう。

2.AWSを使う上での注意点3 マシンイメージのコピー

AWSの利点のひとつに、「すでにあるサーバイメージをコピー」するだけで新しくサーバを構築することができることが上げられます。
仮想環境ですので当然と言えば当然なのですが、この「環境をコピー」するだけでサーバが構築できるという利便性は、拡張を考える時に非常に有利に働く便利機能です。

しかし、ここには落とし穴があります。コピー元のサーバイメージが最新に更新されておらず、重大なセキュリティホールがそのまま残っている恐れがあるという点です。
通常、コピー元とされるサーバイメージは、そのイメージを作成した時点での最新のセキュリティパッチが適用されています。
しかし、セキュリティホールは日々発見されているのが実情であり、例えば一年前に作成されたサーバ環境には、相当数のセキュリティホールが存在する可能性があります。
これをそのままコピーして新環境としてAWSに公開すれば、脆弱性が残ったままになる危険性が高くなります。
拡張時にサーバイメージをコピーした場合は、OSを含め、最新のセキュリティパッチを適用するよう十分な注意が必要です。

なお、アプリケーションへの影響を懸念して、自動でのセキュリティパッチ適用を停止しているサーバイメージもあり得ます。
作成した時のセキュリティパッチ適用はもちろんのこと、その後の運用でのセキュリティパッチの適用についても確認しておくようにしましょう。

まとめ

今回は、AWSを使う場合に知っておきたいWebセキュリティについていくつかご紹介しました。
AWSのようなクラウド環境にシステムを構築する場合、「誰でも」アクセスし得る環境である点を、まず念頭に置くように心がけましょう。

今回ご紹介したセキュリティグループ、パスワード認証、マシンイメージのコピーはこうした「誰でも」アクセスできる環境であるからこそ注意が必要な点でもあります。
こうした点に注意しさえすれば、AWSはとても便利でセキュリティ的にも堅固な環境であると言えるでしょう。