AWS（Amazon Web Services）を利用する際、セキュリティ対策を行うことが大切です。

対策を怠ると、個人情報や機密情報などの漏洩、結果的に売り上げや信頼性の低下などにつながる恐れがあります。

そこで本記事では、AWSのセキュリティ対策や活用できるAWSサービスをご紹介します。

AWSのセキュリティレベルは高い？

結論をいうと、AWS（Amazon Web Services）は、一般的に高いセキュリティレベルを提供していると評価されています。

AWSデータセンターは物理的に厳重に保護されており、24時間365日体制でセキュリティ監視が行われています。アクセスは厳重に制限され、生体認証や二要素認証などの強固なアクセス制御の実施が可能です。

AWSは仮想プライベートクラウド（VPC）を提供し、ユーザーは独自の仮想ネットワークを構築できます。ユーザーはVPC内でセキュリティグループやネットワークACLなどを使用してトラフィックの制御を行うことが可能です。

また、AWSはデータの転送と保存において強力な暗号化を提供しています。SSL/TLSを使用したデータ転送、EBSボリュームやS3オブジェクトの暗号化などが利用可能です。

オンプレミスのセキュリティとの違い

AWSは、物理的なデータセンターの管理をAWS自体が行います。ユーザーはサービスを仮想的に利用するため、物理的なセキュリティ対策についてはAWSが担当します。

オンプレミス環境では、データセンターの物理的なセキュリティは自らの責任です。建物へのアクセス制御や監視などを自己管理する必要があります。

また、AWSは仮想プライベートクラウド（VPC）を提供し、ユーザーは仮想ネットワーク内でリソースを構築します。セキュリティグループやネットワークACLを用いて、トラフィックを制御します。

一方でオンプレミス環境では、物理的なサーバー、ネットワーク機器、ファイアウォールなどの管理が必要です。これらの機器のセキュリティ構成やメンテナンスがユーザーの責任となるでしょう。

AWSのセキュリティ対策

ここでは、AWSのセキュリティ対策を5つご紹介します。

インバウンドとアウトバウンドでルール設定を分ける

インバウンドトラフィックは外部からAWSのリソースへ向かうトラフィックであり、アウトバウンドトラフィックはAWSのリソースから外部へ向かうトラフィックです。これらのトラフィックに対しては、それぞれ異なる制御を行うと良いでしょう。

インバウンドトラフィックに対しては、必要な通信のみを許可することが重要です。例えば、WebサーバーにHTTPトラフィックを許可する場合、そのポート以外へのアクセスを制限することにより、攻撃のリスクを最小限に抑えられます。

アウトバウンドトラフィックに対しても、不要な通信を防ぐために厳密なルールを設定します。例えば、データベースサーバーからのアウトバウンド通信が必要な場合は、そのポート以外への通信を制限しましょう。

必要なポートのみを開放する

必要な通信のみを許可するというアプローチは、最小特権の原則に基づいています。これは、サービスやアプリケーションが正常に機能するために必要な最小限の権限やリソースを与えるという原則です。

AWSではセキュリティグループを使用して、インバウンドおよびアウトバウンドのトラフィックを制御します。セキュリティグループは、EC2インスタンスやRDSデータベースなどのリソースに適用できるファイアウォールのような機能を提供します。

また、アプリケーションの要件やサービスによっては、特定のポートが必要とされるでしょう。例えば、データベースへの接続にはデータベース用のポートが必要です。

多要素認証を設定する

パスワードだけでなく、ワンタイムパスコードや認証アプリケーションからの生成されるコードなども設定することがポイントです。多要素認証を取り入れることで、アカウントへの不正アクセスが難しくなります。

例えば、AWS Management Consoleへのアクセスに多要素認証を適用すると、AWSアカウント全体の管理者が多要素認証を使用してログインする必要があります。IAMを使用して作成されたユーザーアカウントにも、多要素認証の適用が可能です。

多要素認証を取り入れる際、セキュリティを強化するだけではなく、利便性も損なわないことも重視すると良いでしょう。セキュリティを向上させつつも、ユーザーが効率的にシステムにアクセスできることを目的に設定することがポイントです。

個人単位でIAMアカウントを発行する

IAMアカウントはAWS上でのアクセス制御と権限管理を行うためのものです。AWSのリソースへのアクセス、操作、サービスの利用において、ユーザーごとに独自の権限を与えることが可能です。

IAMアカウントを個人単位で発行することで、各ユーザーに必要な権限のみを付与できます。ユーザーが必要なタスクを実行できる一方で、不要な権限を持つことを防げるメリットがあります。

また、各IAMアカウントごとにアクセスログが生成され、それぞれのユーザーの操作ログの監査が可能です。誰がいつどのリソースにアクセスしたかをトレースでき、不正ログイン・アクセスの早期発見につながるでしょう。

バックアップを行う

バックアップを行う前に、どのデータが重要であるかを認識することが重要です。ビジネス上の重要なデータや設定、構成情報を特定し、それらをバックアップ対象として選定します。

バックアップデータは、機密情報を含む可能性があるため、データを暗号化して保存することが推奨されます。AWSでは、S3などのストレージサービスでデータの暗号化が可能です。

バックアップを行う場合、定期的かつ一貫性のあるスケジュールで実施することがポイントです。頻度やタイミングは、ビジネスの要件やデータの変更頻度に合わせて調整しましょう。

また、元データとは別の場所に保存することが望ましいです。AWSでは、異なるリージョンや複数のアベイラビリティーゾーンにバックアップを複製することができます。

AWSのセキュリティ対策で使えるサービス一覧

ここでは、AWSのセキュリティ対策で使えるサービスを9つご紹介します。

AWS Web Application Firewall（AWS WAF）

AWS Web Application Firewall（AWS WAF）は、Webアプリケーションを保護するためのサービスです。

AWS WAFは、AWSが提供する一般的な攻撃に対するセキュリティルールを提供しています。ルールはセキュリティエキスパートによって管理され、新たな脅威に対応するために定期的に更新されます。

また、ユーザーはAWS WAFを使用して、独自のセキュリティルールを作成することが可能です。特定のアプリケーションやビジネスルールに合わせて、セキュリティをカスタマイズできます。

AWS Shield

AWS Shieldは、AWS上でのDDoS（分散型サービス妨害）攻撃からアプリケーションを保護するためのサービスです。

AWS Shield Standardは、AWSの全てのユーザーに無料で提供し、DDoS攻撃からの基本的な保護を提供します。より高度なDDoS攻撃に対する高度な保護機能には、専門のセキュリティエキスパートと協力して迅速な対応が可能な24/7のサポートも含まれます。

攻撃者のIPアドレスを追跡し、不正なトラフィックをフィルタリングすることが可能です。また、トラフィックのパターンや挙動を検査し、通常のトラフィックと異なる挙動を示す場合には攻撃と見なして対応します。

AWS Identity and Access Management（AWS IAM）

AWS Identity and Access Management（AWS IAM）は、AWS上でのアクセス管理および認証サービスです。使用することで、ユーザー、グループ、ロールなどのアクセスエンティティを作成し、管理することができます。

また、多要素認証をIAMに組み込む場合にも役立ちます。多要素認証は追加の認証手段を提供し、アカウントのセキュリティを強化するでしょう。

AWS IAMを活用すると、ユーザーに対してアクセスキーを生成および管理が可能です。これは、APIアクセスやAWS CLIの使用に利用されます。

Amazon Security Hub

Amazon Security Hubは、AWS上でのセキュリティポストのセンターであり、セキュリティ状態の可視化とセキュリティの自動的な検出を提供するサービスです。

Amazon Security Hubは、AWSサービスやセキュリティツールからのセキュリティ情報を収集・集約し、統合的なダッシュボードで可視化します。これにより、セキュリティ状態を一元的に確認が可能です。

また、AWSサービスと直接統合されているので、AWSリソースのセキュリティ状態を監視できます。例えば、Amazon S3のバケットのパブリックアクセス設定などの確認が可能です。

Amazon Config

Amazon Configは、AWS環境のリソース構成の詳細な監査と評価を提供するサービスです。具体的には、AWSアカウント内のリソースの変更履歴を記録し、リソースの設定の変更や構成の変更に関する詳細な情報を提供します。

ユーザーはAWS Config Rulesを使用して、AWSのベストプラクティスやカスタムポリシーに基づくコンプライアンスルールの定義が可能です。これにより、セキュリティポリシーに準拠しているかどうかを定期的に評価できるでしょう。

リソースの構成が変更された場合、Amazon Configは通知を提供し、変更の詳細や影響を素早く把握できるようにします。また、セキュリティインシデントや不正な変更の分析をサポートすることで、セキュリティの問題を早期に検出し対処できます。

Amazon GuardDuty

Amazon GuardDutyは、不正なアクティビティや潜在的な脅威を検出することを目的としているセキュリティ監視サービスです。

GuardDutyは、AWS CloudTrailイベント、Amazon VPC Flow Logs、DNSログなどの情報から、不正なアクティビティを検出します。これには、不正なログイン、不審なトラフィック、不正なAPIコールなどが含まれます。

GuardDutyは、多くの脅威インテリジェンスソース（オープンソースや商用の情報源）からのデータを利用して、不正アクティビティを検出します。その結果、最新の脅威に対する迅速な対応が実現できるでしょう。

また、ユーザーやリソースの通常の行動パターンを学習し、それに基づいて異常な動きを検出します。不正なアクティビティが検出されると、GuardDutyはリアルタイムでアラートを生成し、Amazon CloudWatchやAmazon SNSを使用して通知を送信します。

AWS CloudTrail

AWS CloudTrailは、AWSリソース上でのAPIアクティビティを記録し、ユーザーアカウントの操作履歴を提供するサービスです。

CloudTrailは、AWS Management Console、AWS CLI、AWS SDKsなどを通じて行われるAPIアクションの履歴を記録します。リソースの作成・変更、アクセス許可の変更、IAMロールの操作などが含まれます。

また、APIアクションに関する詳細なイベントデータをAmazon S3に保存します。セキュリティ監査やコンプライアンス要件を満たすためにイベントデータを保持することが可能です。

Amazon Inspector

Amazon Inspectorは、AWS上でのアプリケーションのセキュリティ評価を自動的に実行するサービスです。具体的には、EC2インスタンス上で実行されているアプリケーションの脆弱性を検出し、詳細なレポートを提供します。

また、セキュリティのベストプラクティスに対する準拠評価を実施し、AWS Well-Architected Frameworkに基づいてアプリケーションのセキュリティを確認します。ネットワークのセキュリティ設定や設定の問題を検出し、不正アクセスの可能性を評価することも可能です。

Amazon Detective

Amazon Detectiveは、AWS上でのセキュリティインシデントの調査と分析を支援するサービスです。具体的には、CloudTrail、GuardDuty、InspectorなどのAWSサービスからのセキュリティ関連のデータを集約し、セキュリティインシデントの全体像を提供します。

Amazon Detectiveは、異常なパターンやポリシーの違反などを自動的に検出し、潜在的なセキュリティインシデントを特定します。インシデントがどのように発生し広がっていったかの視覚的な可視化を提供するので、侵害された経路を理解しやすくなるでしょう。

また、インシデントや関連するユーザーやリソースのグラフとデータを提供し、調査と分析をサポートします。インシデントに関連する詳細なセッションデータの提供により、調査の効率の向上が期待できるでしょう。

まとめ

AWSのセキュリティレベルは、政府機関のシステムにも採用されているほど非常に高いといわれています。

AWSでセキュリティ対策を行う際、インバウンドとアウトバウンドのトラフィックを細かく制御するルール設定、必要なポートのみを開放する原則、多要素認証などを実施すると良いでしょう。

また、AWS WAF、AWS Shield、AWS IAM、Amazon Security Hubなどのセキュリティ対策におすすめのAWSサービスも揃っているので、活用することで包括的で効果的なセキュリティ対策が実現できます。