AWSのセキュリティは、AWSが莫大なコストと世界屈指の技術を投下し、強固なセキュリティ対策を自社のインフラに施しています。オンプレミスからクラウドへの移行を検討されている企業の中には、「大事なデータをインターネット上に置くのは不安」と感じる声も少なくありませんが、一企業がAWSと同等のセキュリティ対策を施したオンプレミス環境をつくるのは不可能といっていいでしょう。本記事では、AWSは具体的にどのようなセキュリティポリシーを持っているのか、ユーザーである我々は何をするべきなのか、といったことを初心者向けに解説します。
こんな方におすすめ
- クラウドに自社のデータを置くのは不安だがクラウドに移行したい
- AWSのセキュリティがどうなっているか知りたい
ネクストはこれまで、500社を超えるお客様に技術で支援してきました。お客様の課題として多いのが、AWSを導入したいが社内にクラウド人材がいない、ITコストを抑えたいがノウハウがない、という声です。
むやみにAWSを導入する前に、まずはクラウドやAWSについての基礎を学習し、正しい知識を得ることが大切です。これからAWS導入をはじめたいと考えている方は、ぜひご一読ください。 →AWS導入支援はこちら
AWSのセキュリティ
責任共有モデル
AWSのセキュリティについて解説する前に前提として、AWSの「責任共有モデル」というセキュリティの原則について理解する必要があります。責任共有モデルとは、AWSとユーザーの間でクラウドのセキュリティへの責任範囲を定義し、共有する仕組みのことです。端的に言えば、AWSはクラウド「の」セキュリティに対して責任を持ち、ユーザーはクラウド「内の」セキュリティに対して責任を持つことになります。これを図解すると以下のようになります。
AWSは、ユーザーが持つセキュリティポリシーの実現を支援するために、暗号化やキー管理、ID、アクセス管理 (IAM) などの幅広いセキュリティサービスと機能を提供します。
セキュリティのもう 1 つの重要な側面は、コンプライアンス(法令遵守)です。AWSのインフラは、世界中のほぼすべてのコンプライアンスに準拠しています。ただし、これはAWS上に展開されるユーザーのワークロードがコンプライアンスに準拠することを意味しません。ユーザーは各国が定めるコンプライアンス義務に留意し、AWSが提供するサービスやツールを使用して、クラウドの内側に対して必要なセキュリティとプライバシーの管理を強化する必要があります。
AWS クラウドセキュリティはどのように機能するか
AWSのセキュリティ責任
AWSは、クラウド「の」セキュリティに責任を負います。
ユーザーがAWSを安全に利用できるようにするためには、サイバー攻撃からの保護が必須です。 AWS は、ネットワークの内部と外部の境界において、通信を監視・制御するために、ファイアウォールと境界デバイスを敷き、通信フローを制御します。
ユーザーのセキュリティ責任
ユーザーは、クラウド「内の」セキュリティに責任を負います。
クラウド内のセキュリティを強化するため、次のようなAWSセキュリティ機能の構成が適用されます。
暗号化
- S3をはじめとしたさまざまなストレージサービスで提供されるストレージに対しての暗号化
- Key Management Service(KMS)での独立したカスタムマネージドキーによる制御
インフラのセキュリティ
- VPCファイアウォール
- OSI参照モデルのうち、ネットワーク層(L3)、トランスポート層(L4)、アプリケーション層(L7)におけるDDoS軽減技術
- AWS施設間のトラフィックの自動暗号化
構成管理
- クラウドリソースの作成・変更・停止の管理
- クラウド資産のインベントリを取得
- セキュアな構成を複製するためのInfrastructure as Code (IaC)テンプレートの使用
- 構成済み仮想マシンを作成するためのAmazon Machine Images (AMI)の使用
IDとアクセス制御
- IAMによるアクセス定義、管理およびユーザーアカウントとロールの定義
- 多重認証(MFA)とシングルサインオン (SSO)によるセキュアなログイン
モニタリングとロギング
- AWS CloudTrailによるAWSクラウド環境へのアクセス監視
- Amazon CloudWatchによるログデータ提供
- Amazon GuardDutyによるリアルタイムログ分析
複数のアカウント
クラウドのセキュリティはなぜ重要か
AWSのクラウドを安全に使用するために対策を講じる必要があります。主な理由を以下に示します。
- データ保護: 不正アクセス、破損、紛失からデータを保護することはユーザーのビジネスにおいて極めて重要です。データがインターネット上に保存され、リモートでアクセスできるクラウドにおいては特にこれに当てはまります。また、データのプライバシーと真正性を担保する必要があり、これには暗号化と強固な認証が有効です。
- コンプライアンス: システムをクラウドに移行する際には、クラウドプロバイダーとクラウドサービスの利用が、法規制の基準を満たしていることを確認する必要があります。
- 設定ミスのリスク: 従来のオンプレミス環境のインフラとは異なり、クラウドは多数のサービスが相互に接続され、同時に高度に分散された環境です。この複雑さは、じつはサイバー攻撃を実行する攻撃者に悪用される可能性のある脆弱性を数多く生み出しています。今やオープンソースソフトウェアを使用しないプロジェクトは皆無であり、これはおのずと意図せずして脆弱性を放置する可能性を増やします。また、クラウドサービスは非常に動的であり、日々新しいリソースがプロビジョニングされるため、安全性を確保することがさらに難しくなります。
- 第三者のリスク: クラウド・サービスを利用する場合、基本的にITインフラの構築や運用の一部を外部ベンダーにアウトソーシングすることになります。すると外部ベンダーのセキュリティ対策に依存することになるため、これもひとつのリスクになります。
まとめ
今回は「AWSのセキュリティ」をテーマに、初心者に向けてわかりやすくAWSのセキュリティモデルや取り組みをご紹介しました。
AWSとは.com では、AWSの基礎から実践までの学習を通じて、企業や個人のAWS導入を支援していく予定です。
最後までお読みいただきありがとうございました
