AWS(Amazon Web Service)は、企業の運営に必要なシステムを必要な分だけ利用できるクラウドサービスです。近年多くの企業が導入していますが、利用する際にはセキュリティリスクに備えなければなりません。本記事では、AWSで備えるべきリスクとその対策についてご紹介します。
[RELATED_POSTS]AWSとは
AWSとはAmazon Web Services(アマゾンウェブサービス)の略で、クラウド型のプラットフォームのことをいいます。Amazonが、自社の商品管理や分析のために使用していたインフラサービスを一般向けに公開したことから始まったサービスで、現在ではスタートアップ企業から公的機関まで、全世界で幅広く利用されています。
AWSの特徴は、インターネットを通じてサーバーやデータベース、ソフトウェアなど200以上のサービスを利用できることです。サービスを使った分だけ料金を支払う仕組みなので、初期費用が抑えられるうえに、コストパフォーマンスに優れています。
また、多くのサービスがありながらも、230以上のしっかりとしたセキュリティ対策があり、安心して使用できます。
AWSのセキュリティが信頼できる理由
AWSを用いたシステムの構築やサービスの開始に際し、セキュリティ面に不安を抱く企業経営者や担当者も多いかもしれません。しかし、AWSは高度なセキュリティ環境を構築しており、その安全性ゆえに多くの企業が利用しています。
国や自治体への導入実績
AWSのセキュリティが信頼できる理由として、豊富な導入実績が挙げられます。AWSの世界シェアは約3割を占めるトップで、日本国内ではさらに高いシェア率を誇ります。
AWSは民間企業のみならず、金融機関や官公庁でも導入実績があります。これらの機関では、特に機密性の高い情報を数多く取り扱うため、情報漏洩が発生するとその他の企業以上に大きな問題へと発展しかねません。このように情報の扱いに関して慎重さが求められる金融機関や官公庁でさえ、AWSのセキュリティ性を評価しています。
このように信頼を寄せられている理由のひとつが、さまざまな第三者認証を取得していることです。AWSが取得した認証は、ISO 9001やISO 27001、FISC、ISMAPなどが挙げられます。これらのクラウドサービスやコンピューターシステムのセキュリティを評価する制度に準拠したサービスであるため、AWSは安全性が高いと考えられています。
スペシャリストによる戦略的なセキュリティサービスの構築・管理
AWSの安全性は、セキュリティのスペシャリストによって守られています。世界トップクラスの実力を有するスペシャリストが、戦略的に高度なセキュリティの構築、維持に努めており、それゆえにセキュアな環境を実現できます。
わずかでもシステムに脆弱性が見つかると、悪意をもつ第三者からのサイバー攻撃を受けかねません。このような攻撃は珍しくなく、世界的なクラウドサービスであるAWSでもターゲットとなるおそれがあります。そこで、AWSは優れたセキュリティの専門家によるモニタリングを実施し、徹底的な脆弱性への対策を行っています。
AWSのセキュリティ対策は、防止・検出・対応・修復の4つが軸です。これにより、リスクが顕在化する前に排除し、脅威を検出した際にはできるだけ被害が広がらないよう対処します。どの項目においても、発生した事象に対しどう対応するのかが細かく決められているため、適切な対応が可能です。
AWSのセキュリティ対策の利点
AWSのセキュリティ対策は、悪意のあるアクティビティの侵入を防止できる点がメリットです。また、セキュリティ状況の可視化や分析が可能であり、保護、修復へのスピーディーな対応ができます。
悪意のある侵入の防止
悪意のあるアクティビティの侵入を許してしまうと、データの漏洩を招くおそれがあります。クレジットカード情報などの重要な顧客データが外部へ流出すると、関係者へ多大な迷惑をかけるだけでなく、企業としての信頼も失墜しかねません。
AWSは、悪意のある侵入を防止できる機能を実装しているため安心です。AWSには、「Amazon GuardDuty」という侵入検知システムが実装されており、AWS上での挙動やアカウントなどをモニタリングすることで、脅威を特定します。適切に設定しておけば、検出した脅威に対し自動的な対応もでき、手間がかかりません。しかも、複数アカウントを一元的にサポートできる優れものです。
Amazon GuardDutyは、マネジメントコンソールから容易に導入でき、別途アプリケーションを展開する必要がありません。維持管理の手間も少なく済むため、管理担当に割く人員を抑え、開発や運用といった各種業務に注力できます。
セキュリティの状況を可視化・分析
万全のセキュリティ環境を構築できているつもりでも、時間が経つうちに新たな脆弱性が発見されるケースは珍しくありません。セキュリティ環境を更新しないまま放置していると、不正アクセスに起因する情報漏洩やデータの改ざん、破壊、システムの乗っ取り、サービスの悪用などさまざまなリスクを招きます。
このような状況を回避するには、セキュリティ状況の可視化が不可欠です。現状におけるセキュリティは十分なのか、どこに問題があるのかを把握できていないと、さらなる対策を取る場合にも従来の脆弱性をカバーしきれない可能性があります。
AWS上では「SIEM on Amazon Elasticsearch Service」により、セキュリティ状況の可視化が可能です。ネットワーク機器やセキュリティ機器に関する情報、各種ログを取得できます。取得したログは相関分析を行うことで、脅威の検出に役立てられます。
保護・修復への迅速な対応
AWSで適切にセキュリティ対策を行うことで、どのようなリスクがあるのか、現状におけるセキュリティは十分か、といったことを可視化できます。目に見えづらかった問題点が明確に可視化されるため、安全な運用のために何をすべきかが分かり、速やかな保護・修復対応が可能です。
修復に関しては、リアルタイムでの対応が可能なため、実際に被害を受けたり、脆弱性への措置に急を要したりする場合にもロスタイムがほぼ発生しません。脆弱性が顕在化している時間を短くすれば、安全性を確保できるだけでなく、その他の業務への影響を少なく抑えられます。
AWSを使うときに生じるセキュリティのリスク
しっかりとしたセキュリティ対策がされているとはいえ、やはりクラウドプラットフォームであるAWSを利用する際は、少なからずデータ漏洩などのリスクにさらされます。これらのリスクに対処するためには、まずどのような危険性があるのかを認識しなくてはなりません。続いては、AWSを使用するときに生じうるリスクとその原因を解説します。
アカウントの乗っ取り
まず考えられるのがアカウントの乗っ取りです。ログインしているアカウントそのものを乗っ取られてしまうと、企業が保管している個人情報や社外秘の情報が漏洩することはもちろん、アカウントを使った不正操作によるさまざまな被害が発生します。アカウントの乗っ取りが起こる仕組みにはいろいろありますが、以下の3つが代表的です。
脆弱性を狙ってアカウント情報を盗む
XSS(クロスサイトスクリプティング)などの脆弱性を利用して、アカウント情報を盗むフィッシング(phishing)攻撃というものが存在します。フィッシング攻撃では、ユーザーが普段アカウント情報を入力するのとよく似た偽のサイトへ移動させ、アカウントのIDやパスワードを入力させることで、アカウント情報を盗みます。
IDとパスワードを何通りも試す
IDとパスワードをしらみつぶしに試して、アカウントを乗っ取る方法です。たとえIDやパスワード情報を外部に漏らしていなくても、勝手に調べられてしまうため、防止するには第三者が特定しづらいパスワードを設定しなくてはなりません。
他社のセキュリティ事故で漏れた情報を利用する
セキュリティ情報が外部に漏れてしまうセキュリティ事故で情報を得て、アカウントを乗っ取る方法です。自社内での情報漏れではなく、データを預けていた外部の会社での情報漏れであるため、防ぐのが困難です。
データの漏洩
データベースのデータには、盗難・改ざんのおそれがあります。データを盗まれる方法として最も考えられるのが、データの管理ミスです。メールの誤送信やパソコンの紛失など、人為的なミスによってデータ漏洩が起こります。そのほか、アカウント乗っ取りと同じく、不正アクセスによりデータが漏洩させられることもあります。
サービスの悪用
AWSで開放されたネットワーク通信を使用していると、その通信を乗っ取られ、サービスを悪用されることがあります。ネットワーク通信が開放されているかどうかを調べることをポートスキャンといい、これは必要な機器さえあれば誰でも行えます。そのため、サービスを悪用されないためには、常に不審な通信履歴がないかを確認することが大切です。
一般的に、ポートスキャンが実施された記録はファイアウォールに残るようになっています。定期的にログをチェックし、不審なログがあった場合はその通信元からの通信を遮断しましょう。
マルウェアの感染
メールやWebサイトからマルウェアに感染するおそれがあります。マルウェアとは、不正な動きを行うプログラムやコードの総称です。これらに感染すると、パソコン内のデータが消えたり、改ざんされたり、外部にさらされたりする可能性があります。マルウェアの種類としては、トロイの木馬やスパイウェアなどがあります。
AWSを使うときにできるセキュリティ対策
では、これらの問題を防ぐためにできる対策はどのようなものがあるのでしょうか?ここでは、AWSを利用する際の具体的なセキュリティ対策をご紹介します。
セキュリティグループをしっかり設定する
まずはセキュリティグループ設定を行いましょう。これは、AWSが標準装備しているファイアウォールのことです。
セキュリティグループでは、アクセス許可の範囲やトラフィックの制御を行えます。自社の使用する内容にあわせて、セキュリティを設定しましょう。なるべくインバウンドルール(アクセス制限のためのルール)を最小限に設定することが大切です。特に開発環境は被害に遭いやすいため、必要がない限りインバウンドルールを狭め、公開しないようにしましょう。
またこれとあわせて、AWSが発表しているセキュリティに関するベストプラクティスの資料を読むことをおすすめします。それに沿った対策を行うことを設定すれば、よりセキュリティの向上が可能です。
認証情報を定期的に確認し、無効化する
ログ管理で認証情報を定期的に確認すれば、怪しい認証に気づくことができます。普段からチェックを行うようにしましょう。また一度発行した認証で、90日間以上利用していないものは、削除することをおすすめします。利用していない認証情報を削除すれば、その分アクセスのための窓口が減るため、セキュリティの向上につながるからです。
認証情報の定期的なチェックとともに、パッケージの更新もあわせて行いましょう。AWSでは、常にパッケージの更新が行われています。古いバージョンでは、セキュリティの脆弱性が残されたままになっていることもあります。パッケージの更新とともにセキュリティパッチが行われることもあるため、パッケージは常に最新のものにしておきましょう。
「MFA」を設定する
MFAとはID/パスワード以外の要素を認証に利用することで不正アクセスを防ぐ仕組みです。
AWSは標準でMFA機能を備えるほか、HENNGE OneのようなIDaaSを利用することで他のクラウドサービスと統合的にMFAを管理できるほか、デバイス証明書を利用したアクセス端末制限も可能になり、よりセキュリティレベルが強固になります。
AWSのセキュリティ対策の注意点
AWSは高度なセキュリティ機能を備えているものの、対策を行う際には注意すべき点がいくつかあります。AWSの利用を検討しているのなら、以下の2点についても把握しておきましょう。
パスワード認証を信用しすぎない
クラウドサービスへログインする際のパスワード認証は、最も基礎的なセキュリティ対策のひとつです。ユーザーは、IDとパスワードの入力によって、正規のログインであることの証明が可能です。ただ、パスワードが漏れてしまった場合、悪意をもつ第三者がシステムへ侵入する可能性があります。このようなリスクを避けるべく、パスワードの紛失や漏洩には最大限の注意を払う必要があります。
たとえば、予想されやすいパスワードを設定するのは危険です。不正アクセスを繰り返す攻撃者は、パスワードの予測や解析に長けている場合もあります。同じ数字の羅列や日付、電話番号といった、なんらかの規則性があるものは避けましょう。桁数と文字種が多いほど組み合わせが多くなり、ランダムな文字列を生成して設定することで特定が困難になります。
また、パスワード認証以外にも、前述したMFA(多要素認証)を組み合わせるのが効果的です。多要素認証は、ワンタイムパスワードや他のデバイスの所持、または指紋、声紋などから認証を行います。ログインするには、設定したすべての要素で認証をクリアする必要があるため、パスワードを含むいずれかの要素が特定または漏洩しても、不正ログインを防ぐことができます。
サーバーイメージが最新のものか確認する
AWSでは、「Amazon マシンイメージ(AMI)」を用いることで、新たなサーバーの構築や複製によるバックアップが可能です。このマシンイメージの作成機能は、サーバーを増築・拡張したい場合や、バックアップによる災害対策などに利用できます。
サーバーのマシンイメージをコピーする際には、セキュリティ面に注意しなくてはなりません。マスターイメージにセキュリティ上の脆弱性が発生している場合、そうしたネガティブな要素もそのままコピーされます。その結果、コピー先のすべてに同様のセキュリティリスクが生じるようなことも起こりかねません。
このようなリスクを回避するためには、イメージのコピーを行う前にセキュリティ対策を確認する必要があります。脆弱性が生じていないか、最新の対策を行っているか、またその設定がマスターに反映されているかなどを確認したうえで、コピーを開始しましょう。
ゼロトラスト大全! セキュリティ上のメリット・デメリットを基礎から解説
まとめ
AWSは世界的なシェアを誇るクラウドサービスであり、国や自治体、金融機関などでの豊富な導入実績があります。セキュリティ面の信頼性は高いものの、確実に脅威を排除できるわけではありません。
AWSの安全な利用には、適切なセキュリティ対策が求められます。AWSでは容易にさまざまなセキュリティ機能を導入できるため、スムーズにセキュアな環境の構築が可能です。
「HENNGE One」では、AWSをはじめとしたクラウドサービスのアクセスコントロールを行っています。AWSで高度なセキュリティ対策を考えているなら、ぜひ利用を検討してみてください。
