AWSを利用する場合、AWSの責任共有モデルを理解しておくことが大切です。

AWSの責任共有モデルを理解することで、ユーザー側がすべきことが明確になります。

そこで本記事では、AWSの責任共有モデルについて、AWS側とユーザー側の責任範囲をご紹介します。

そのほか、AWSのセキュリティ対策もお伝えするので、セキュリティに対して不安に思っている方はぜひ参考にしてください。

AWSの責任共有モデルとは？

AWSの責任モデルとは、AWS側と利用者側の責任範囲を明確にするという考えを指します。このモデルは、クラウドセキュリティの管理を効果的に行うための基本的なフレームワークとして考えられています。

オンプレミスと比較すると、システムを運用する上での責任範囲が狭くなります。AWS側と分担しながらAWS環境を管理していくので、オンプレミスからAWSに移行した企業にとっては、管理にかかる負担を軽減できたと感じるでしょう。

AWS側の責任

ここでは、AWS環境を管理する上でのAWS側の責任範囲を2つご紹介します。

データセンターの管理

AWSが運営するデータセンターは、クラウドサービスの物理的基盤となる重要な部分です。AWSのデータセンターへのアクセスは厳格に制限されており、承認されたスタッフのみが入場できます。

具体的には、セキュリティカメラ、侵入検知システムなどを使用して、24時間365日監視が行われています。設備環境を整えることで、火災、洪水、地震などの自然災害からも守れるでしょう。

また電源供給に問題が生じた場合でも、バックアップの電源システムが自動的にオンラインになるような冗長性が確保されています。非常用発電機やバッテリーバックアップが配置されており、予期せぬ停電でも対応が可能です。

そのほか、サーバーやネットワーク機器を効率的に冷却するためのシステムを導入したり、定期的に点検したりしています。

ホストOSのセキュリティ保障

AWSのインフラサービスを使用する際、基盤となる物理的ハードウェア上で動作するホストOSは、AWSの管理下にあります。このホストOSのセキュリティに関する責任も、AWSが担当します。

具体的な業務内容は、ホストOSのセキュリティパッチやアップデートなどの管理です。セキュリティの脆弱性が発見された場合、AWSは迅速に対応し、適切なパッチを適用することでユーザーのリソースを保護します。

またAWS側は、異常やセキュリティイベントをいち早く検出できるように、ホストOSの動作を24時間365日モニタリングしています。これらの活動はログとして記録され、のちの分析や対応の際に利用されるでしょう。

利用者側の責任

ここでは、AWS環境を管理する上での利用者側の責任範囲を5つご紹介します。

​ゲストOSの管理・運用

AWSでは、物理的ハードウェアやホストOSを管理するものの、仮想マシンやインスタンス上で動作するゲストOSは利用者の管理下にあります。このゲストOSのセキュリティや管理に関する責任も、利用者に帰属します。

定期的にゲストOSのセキュリティアップデートやパッチを確認し、適用することが必要です。結果的に、新たに発見されたセキュリティの脆弱性からシステムの保護につながります。

またOSの動作ログやセキュリティイベントを定期的に監視・解析することで、不正アクセスや異常な動きを早期に検出できます。記録されたログは、のちの分析やインシデント対応の際に重要な情報となるでしょう。

データの暗号化

AWSがインフラやホストOSのセキュリティを確保しているものの、保存されるデータの暗号化は利用者の責任となります。

Amazon S3やEBSなどのAWSのストレージサービスを使用する際、データは暗号化されて保存されるべきです。データが不正にアクセスされても、内容が読み取れないように保護することが大切です。

アクセス権限の管理

インターネットやVPC間のデータ転送の際に備えてデータの暗号化を行うことで、データの漏洩や中間者攻撃の予防につながります。

アクセス権限を設定する際は、必要最低限の権限のみを付与することが推奨されます。権限は定期的に見直す必要があり、不要になった権限は速やかに削除することが重要です。

データのバックアップ

AWSのデータのバックアップは、利用者の責任となります。バックアップしておくことで、意図しないデータの削除やアプリのバグ、災害時のデータ復旧など、多くのリスクからデータを保護することができます。

AWSには、データバックアップのための多くのツールやサービスが提供されています。Amazon RDSでは自動バックアップやスナップショットの機能、Amazon EC2ではAMIやボリュームのスナップショット機能の利用が可能です。

また定期的にバックアップからのデータ復元をテストし、実際の災害時に迅速にデータを復旧できるかを確認することも重要です。

ネットワークの設定

AWSは堅牢で拡張性のあるネットワークのインフラストラクチャを提供しますが、このネットワークの具体的な設定やセキュリティの適用は利用者の責任となります。企業のオンプレミス環境とAWSとの接続を確立する場合、VPN接続やDirect Connectの設定も利用者の責任です。

VPCは、AWS上で仮想的なプライベートネットワーク空間を作成するサービスです。利用者は、VPC内でサブネットの設計、ルーティング、ネットワークACL、セキュリティグループなどの設定を行って管理する必要があります。

セキュリティグループは仮想的なファイアウォールとして機能し、インスタンスやデータベースへのアクセスを許可/拒否する設定を行います。例えば、特定のIPアドレスからのSSHアクセスのみを許可するなどの設定を利用者が行う必要があります。

オンプレミスサービスの管理・運用

オンプレミスとは、企業が独自のデータセンター内やオフィス内で物理的にサーバーやネットワーク機器を設置・運用する環境のことです。オンプレミスとAWSをハイブリッド環境としている企業では、オンプレミスサービスの管理・運用を自社で行う必要があります。

オンプレミスサービスの管理では、サーバー、ストレージ、ネットワーク機器の物理的なメンテナンスや障害対応などを行います。その際、OS、ミドルウェア、アプリケーションのアップデートやパッチ適用も利用者側で行うと認識しておきましょう。

AWSで重要なセキュリティ対策5つ

ここでは、AWSで重要なセキュリティ対策を5つご紹介します。

セキュリティグループの設定

セキュリティグループは、AWSのVPC内で動作する仮想的なファイアウォールとして機能します。新しいセキュリティグループを作成すると、デフォルトですべてのインバウンドトラフィックは拒否され、すべてのアウトバウンドトラフィックは許可されます。

セキュリティグループの設定では、必要なトラフィックのみを許可し、それ以外は拒否する原則にしたがいルールを設定しましょう。特定のサービスやポートへのアクセスは、必要なIPアドレスからのみアクセスできるように制限することが肝心です。

AWSの多要素認証（MFA）を使用

多要素認証（MFA）は、ユーザーの身元を確認する際に2つ以上の要素を使用するセキュリティシステムです。一般的には、パスワードやPIN・スマートカードやセキュリティトークン、スマートフォンに送信されるコード・指紋や網膜スキャンの3つのカテゴリから2つ以上の要素を組み合わせて使用します。

AWSの多要素認証（MFA）の使用により、パスワードのみの認証よりも、不正アクセスを大幅に減少できるでしょう。パスワードが漏洩しても、第二の認証要素がないとアクセスできないため、セキュリティのリスクを軽減します。

脆弱性診断サービスを使用

脆弱性診断は、システムやアプリケーションに存在するセキュリティ上の弱点を特定、評価、報告するプロセスです。結果的に、組織は潜在的なリスクを理解し、適切な対策を講じることができるでしょう。

定期的な脆弱性スキャンにより、セキュリティ上の問題点を早期に検出し、修正することでセキュリティの向上が図られます。一部の規制や業界標準では、定期的な脆弱性診断の実施が求められています。

またAmazon Inspectorは、AWS上でホストされるアプリケーションの脆弱性や不適切な設定を自動的に検出するサービスです。EC2インスタンスなどに対してスキャンを行い、詳細なレポートを提供します。

アンチウイルスソフトを適用

アンチウイルスソフトは、コンピュータシステムに侵入しようとするウィルスやマルウェアを検出、削除、隔離するためのソフトウェアです。結果的に、システムやデータの損害を防ぎ、不正アクセスを防止する効果が期待できます。

AWS上のリソースも、オンプレミス環境と同じように、ウィルスやマルウェアのリスクが存在します。アンチウイルスソフトを適用することで、これらの脅威からデータを保護できます。

ただし、アンチウイルスソフトはスキャン時にリソースを使用するため、パフォーマンスへの影響を考慮して適切なスケジューリングや設定が必要です。ウィルスの定義や特徴が日々更新されるため、アンチウィルスソフトも定期的に更新し、最新の脅威に対応することが重要です。

一定期間使用していないアカウントIDやアクセスキーを定期的に削除する

特定の期間使用していないユーザーアカウントやアクセスIDを、セキュリティ上の理由で削除することで、不要なアクセスポイントを減少させられます。結果的に、セキュリティリスクを低減する可能性があります。

AWS環境におけるアクセスは、必要最小限の権限を持つアカウントに限定すべきです。使用されていないIDは、不正利用される恐れがあります。一部の業界規制や法律では、未使用のアカウントの管理や削除が義務付けられているケースがあります。

まとめ

AWSの責任共有モデルとは、AWSを安全に使うためにAWS側とユーザー側で責任範囲を設けていることを指します。クラウド上ではユーザーに丸投げするのではなく、データセンターの管理やホストOSのセキュリティ保障をAWS側で行います。

一方ユーザー側では、ゲストOSの管理やデータの暗号化、バックアップなどを行う必要があります。オンプレミスでのシステム管理よりも責任範囲が限られているので、管理・運用の手間が省けるでしょう。

またAWSを利用する際、セキュリティ対策を行うことが大切です。脆弱性診断サービスやアンチウイルスソフトなどを活用すると良いでしょう。

これからAWSの利用を検討している企業は、ユーザー側の責任範囲を知るとともに、どのようなセキュリティ対策を行うかも決めておきましょう。