AWS(Amazon Web Service)は、企業の運営に必要なシステムを必要な分だけ利用できるクラウドサービスです。近年多くの企業が導入していますが、利用する際にはセキュリティリスクに備えなければなりません。今回は、AWSで備えるべきリスクとその対策についてご紹介します。
[RELATED_POSTS]AWSとは
AWSとはAmazon Web Services(アマゾンウェブサービス)の略で、クラウド型のプラットフォームのことをいいます。Amazonが、自社の商品管理や分析のために使用していたインフラサービスを一般向けに公開したことから始まったサービスで、現在ではスタートアップ企業から公的機関まで、全世界で幅広く利用されています。
AWSの特徴は、インターネットを通じてサーバーやデータベース、ソフトウェアなど175以上のサービスを利用できることです。サービスを使った分だけ料金を支払う仕組みなので、初期費用が抑えられるうえに、コストパフォーマンスに優れています。
また、多くのサービスがありながらも、230以上のしっかりとしたセキュリティ対策があり、安心して使用できます。
AWSを使うときに生じるセキュリティのリスク
しっかりとしたセキュリティ対策がされているとはいえ、やはりクラウドプラットフォームであるAWSを利用する際は、少なからずデータ漏洩などのリスクにさらされます。これらのリスクに対処するためには、まずどのような危険性があるのかを認識しなくてはなりません。続いては、AWSを使用するときに生じうるリスクとその原因を解説します。
アカウントの乗っ取り
まず考えられるのがアカウントの乗っ取りです。ログインしているアカウントそのものを乗っ取られてしまうと、企業が保管している個人情報や社外秘の情報が漏洩することはもちろん、アカウントを使った不正操作によるさまざまな被害が発生します。アカウントの乗っ取りが起こる仕組みにはいろいろありますが、以下の3つが代表的です。
脆弱性を狙ってアカウント情報を盗む
XSS(クロスサイトスクリプティング)などの脆弱性を利用して、アカウント情報を盗むフィッシング(phishing)攻撃というものが存在します。フィッシング攻撃では、ユーザーが普段アカウント情報を入力するのとよく似た偽のサイトへ移動させ、アカウントのIDやパスワードを入力させることで、アカウント情報を盗みます。
IDとパスワードを何通りも試す
IDとパスワードをしらみつぶしに試して、アカウントを乗っ取る方法です。たとえIDやパスワード情報を外部に漏らしていなくても、勝手に調べられてしまうため、防止するには第三者が特定しづらいパスワードを設定しなくてはなりません。
他社のセキュリティ事故で漏れた情報を利用する
セキュリティ情報が外部に漏れてしまうセキュリティ事故で情報を得て、アカウントを乗っ取る方法です。自社内での情報漏れではなく、データを預けていた外部の会社での情報漏れであるため、防ぐのが困難といえます。
データの漏洩
データベースのデータには、盗難・改ざんのおそれがあります。データを盗まれる方法として最も考えられるのが、データの管理ミスです。メールの誤送信やパソコンの紛失など、人為的なミスによってデータ漏洩が起こります。そのほか、アカウント乗っ取りと同じく、不正アクセスによりデータが漏洩させられることもあります。
サービスの悪用
AWSで開放されたネットワーク通信を使用していると、その通信を乗っ取られ、サービスを悪用されることがあります。ネットワーク通信が開放されているかどうかを調べることをポートスキャンといい、これは必要な機器さえあれば誰でも行えます。そのため、サービスを悪用されないためには、常に不審な通信履歴がないかの確認することが大切です。
一般的に、ポートスキャンが実施された記録はファイアウォールに残るようになっています。定期的にログをチェックし、不審なログがあった場合はその通信元からの通信を遮断しましょう。
マルウェアの感染
メールやWebサイトからマルウェアに感染するおそれがあります。マルウェアとは、不正な動きを行うプログラムやコードの総称です。これらに感染すると、パソコン内のデータが消えたり、改ざんされたり、外部にさらされたりする可能性があります。有名なマルウェアとしては、トロイの木馬やスパイウェアなどがあります。
AWSを使うときにできるセキュリティ対策
では、これらの問題を防ぐためにできる対策はどのようなものがあるのでしょうか?ここでは、AWSを使用する際の具体的なセキュリティ対策をご紹介します。
セキュリティグループをしっかり設定する
まずはセキュリティグループ設定を行いましょう。セキュリティグループとは、AWSが標準装備しているファイアウォールのことをいいます。
セキュリティグループでは、アクセス許可の範囲やトラフィックの制御を行えます。自社の使用する内容に合わせて、セキュリティを設定しましょう。なるべくインバウンドルール(アクセス制限のためのルール)を最小限に設定することが大切です。特に開発環境は被害に遭いやすいため、必要がない限りインバウンドルールを狭め、公開しないようにしましょう。
またこれと合わせて、AWSが発表しているセキュリティに関するベストプラクティスの資料を読むことをおすすめします。それに沿った対策を行うことを設定すれば、よりセキュリティを高めることができるでしょう。
認証情報を定期的に確認し、無効化する
ログ管理で認証情報を定期的に確認すれば、怪しい認証に気づくことができます。普段からチェックを行うようにしましょう。また一度発行した認証で、90日間以上利用していないものは、削除することをおすすめします。利用していない認証情報を削除すれば、その分アクセスのための窓口が減るため、セキュリティの向上につながるからです。
認証情報の定期的なチェックとともに、パッケージの更新も合わせて行いましょう。AWSでは、常にパッケージの更新が行われています。古いバージョンでは、セキュリティの脆弱性が残されたままになっていることもあります。パッケージの更新とともにセキュリティパッチが行われることもあるため、パッケージは常に最新のものにしておきましょう。
「MFA」を設定する
MFAとはID/パスワード以外の要素を認証に利用することで不正アクセスを防ぐ仕組みです。
AWSは標準でMFA機能を備えるほか、HENNGE OneのようなIDaaSを利用することで他のクラウドサービスと統合的にMFAを管理できるほか、デバイス証明書を利用したアクセス端末制限も可能になり、よりセキュリティレベルが強固になります。
ゼロトラストとは?2020年以降のITセキュリティにとって重要な考え方について解説
まとめ
AWSにおけるセキュリティリスクはさまざまです。セキュリティに不安を感じた場合、まずはセキュリティグループ設定やパスワードなど、基本的な設定から見直しましょう。
HENNGE Oneでは、AWSをはじめとしたクラウドサービスのアクセスコントロールを行っています。AWSで高度なセキュリティ対策を考えているなら、ぜひ利用を検討してみてください。
