AWSを使っている人が絶対にやっておくべきセキュリティ対策

2022.02.25

Webセキュリティ

2018/6/8 執筆、2019/9/19修正・加筆、2022/2/25変更・加筆
AWSを使っている人が絶対にやっておくべきセキュリティ対策 AWS-web-security

EC、流通大手Amazon社の提供するクラウドサービスAWS(Amazon Web Service)。国内クラウド市場でもトップシェアを誇っています。

 

企業におけるITシステムおよび環境の構築でも、クラウドの活用が進んでいます。政府も利用システムの調達においてクラウドファースト(クラウド・バイ・デフォルト)とすることを標榜しており、クラウドはまさにIT環境の第一の選択肢の座に登り詰めたといえるでしょう。

 

積極的に利用していきたいクラウドサービスですが、心配なのがセキュリティです。特にパブリッククラウド上にシステムを構築するとなれば、ネットワーク上に存在するため外部からの攻撃にさらされかねません。

 

今回は、AWSを利用する場合に知っておきたいWebセキュリティについてご紹介いたします。

 

目次

1.クラウドとオンプレで考慮すべきセキュリティの違い

クラウドはネットワーク上に構築された仮想コンピュータ環境やソフトウェアです。パブリッククラウドの場合はインターネット上にあり、社内ネットワークのように切り離された環境ではありません。オープンな環境であるため、基本的に誰でもアクセス可能です。

この点から考えると、クラウドのセキュリティはオンプレミスより低いのではないかという点が、心配になってもおかしくありません。

 

実際に、パブリッククラウドサービスでは誰でもアクセス可能であるという点は、常に配慮が必要です。設定のミスや漏れがあった場合、危険度はオンプレミスより高くなります。

 

しかし、一概にクラウドの方がセキュリティが甘いわけではありません。オンプレミスに比べてセキュリティ対策上で優れた点もあります。

 

一つの理由として、環境、システムをクラウドベンダーが最新に保ってくれることがあげられます。クラウドサービスではインターネット接続によって利用するため、接続先のサービス提供者が最新化を行えば、利用者はその点を意識する必要はありません。

オンプレミスの場合、複雑に構成されたサーバのすべてを、アプリケーションに影響することなく最新のセキュリティパッチが適用された状態に保たなくてはなりません。この環境維持には、高度な知識と専門的な技術を持ったシステム管理者が必要となります。

AWSの場合は、環境の最新化はAmazon社によって行われるため、利用者は高度な運用の責任から解放されます。

 

別のメリットとして、高セキュリティを実現するための投資負担をクラウドでは抑えられることがあげられます。

オンプレミスの場合、自社の責任と費用でセキュリティ対策を行う必要があります。サイバー攻撃は常に進化を遂げており、セキュリティへの投資は際限がありません。どれだけ費用をかけても完璧にはならないので、どこかで費用と効果の折り合いをつけなければいけません。この投資負担の限界が、オンプレミスのセキュリティ限界とも言えます。

その点、AWSはAmazon社がセキュリティを限界まで引き上げるよう投資しているため、利用者の負担はほとんどありません。

 

クラウドサービスの利用者は、これらのオンプレミスとクラウドのセキュリティ上の違いを意識して利用することが重要です。

 

2.AWSの提唱する責任共有モデルについて

AWSを利用する場合には、AWSのセキュリティに関する考え方を理解しておくことも必要となります。特に「責任共有モデル」は利用者のセキュリティ対策の指針ともなるものです。

 

AWSでは、セキュリティとコンプライアンスは利用者とAmazonの間で共有される責任としています。

 

責任共有モデルでは、クラウドサービスにおけるセキュリティ責任を下記の2つに分けています。

 

・AWSの“クラウドのセキュリティ”責任

AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャ、つまり環境や仕組みにおける責任

 

・お客様の“クラウドにおけるセキュリティ”責任

利用するサービスにおける設定や構成に対しての責任

 

クラウドサービス提供者としてAmazon社はサービスの環境と仕組みに責任を負い、サービス利用者は利用するサービスの選択、設計、構成といった作業に責任を負うという分担です。

 

AWSに限らず、クラウドサービスの利用を行う場合には、利用者側でもセキュリティ対策の一部を行う必要があることを認識しましょう。

 

3.AWS利用者の最低限行うべき対策ポイント

AWSを利用する場合にこれだけはやっておくべきという対策についてご紹介します。

 

3.1.ユーザ管理

AWSを利用する際に、最初に作るユーザはルートユーザとなります。ルートは強い権限を持つため、悪用されると大変危険です。まずはIAMユーザを作成し、ルートユーザは利用できない状態にしておきましょう。

 

3.2.認証

AWSを利用する際、各サービスへのアクセス時に認証を行います。デフォルトで行われるID・パスワードによる認証のみでは外部からの攻撃に対しセキュリティ対策が不十分です。

 

攻撃者はパスワードを特定するためのツールを持っているかもしれません。簡単なパスワードならあっという間に突破されてしまうでしょう。例え複雑で十分に長いパスワードを設定したとしても、パスワード解析ツールを利用した場合には、時間をかければ突破されてしまう危険性が高いと考えたほうがよいでしょう。

 

AWSではパスワード認証に頼りすぎず、他の認証方法と組み合わせて利用することをおすすめします。多要素認証や公開鍵認証方式を利用することで安全性を格段に高めることができます。

 

参考:
AWS 認証情報の理解と取得
AWSでの多要素認証(MFA)の使用
Amazon EC2 のキーペアと Linux インスタンス

 

3.3.マシンイメージコピー時の注意

AWSのメリットのひとつに「すでにあるサーバイメージをコピー」するだけで新しくサーバを構築できることがあります。仮想化環境のメリットであり、DevOpsにおける高速な環境の構築などで活用する場合も多いです。

 

しかし、このマシンイメージコピーには落とし穴があります。コピー元のサーバイメージが最新の状態に更新されておらず、重大なセキュリティホールがそのまま残っている可能性があることです。

 

通常、コピー元とされるサーバイメージは、そのイメージを作成した時点で、最新のセキュリティパッチが適用されています。しかし、セキュリティホールは日々発見されているのが実情であり、例えば一年前に作成されたサーバ環境には、相当数のセキュリティホールが存在する可能性があります。この環境をそのままコピーして、AWSで新環境として利用した場合、脆弱性が残ったままになる危険性が高くなります。

 

拡張時にサーバイメージをコピーした場合は、OSを含め、最新のセキュリティパッチを適用するよう十分な注意が必要です。なお、アプリケーションへの影響を懸念して、自動でのセキュリティパッチ適用を停止しているサーバイメージもあり得ます。作成した時のセキュリティパッチ適用はもちろんのこと、その後の運用でのセキュリティパッチの適用についても確認しておくようにしましょう。

 

3.4.アクセス許可は最小限に

アクセス許可を最小限にする、という考え方は情報セキュリティにおいて基本的なものです。AWS上でも同じことがいえ、サービスやデータへのアクセス許可を最小限に設定しておくことで不要なトラブルの回避が可能です。

 

3.5.ガバナンス

AWSを企業や組織で利用する場合に考慮したいのが利用者のガバナンスです。いかにクラウドサービス提供者がシステム上のセキュリティ対策を講じたとしても、利用者が誤った使い方をすればセキュリティ事故は発生します。情報漏えいの主たる原因の一つに内部犯行があるように、クラウドを利用していてもガバナンスはセキュリティ対策の重要事項なのです。

 

AWSのWebセキュリティ対策まとめ

今回は、AWSを使う場合に知っておきたいWebセキュリティについてご紹介しました。AWSのようなパブリッククラウド環境にシステムを構築する場合、「誰でも」アクセスし得る環境である点を、まず念頭に置くように心がけましょう。

 

今回ご紹介した対策ポイントにおいても、こうした「誰でも」アクセスできる環境であるからこそ注意が必要な点も多いのです。これらの点に注意できていれば、AWSはとても便利でセキュリティ的にも堅固な環境であると言えます。

 

CyberSecurityTIMESを運営している弊社サイバーセキュリティクラウドでは、AWS環境に対応したWAF自動運用サービス「WafCharm」を提供しております。
AWSでもWAFは提供されていますが、AWS WAFは運用コストや専門的なスキルを持った人材の確保などが課題となりがちです。
WafCharmを活用することで、AWS WAF運用の自動化が可能です。専門家によるサポートも充実しております。お気軽にお問合せください。

 

「WafCharm」の詳細資料は、こちらからダウンロード頂けます。

 


AWSのWebセキュリティまとめ AWS環境の セキュリティ対策 Web Application Firewall

 

  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード