AWSのセキュリティ面に対して、クラウドサービスだし不安だと考える方もいれば、AWSが管理を行ってくれているからユーザー側では何もしなくても良いと考えている方など様々ではないでしょうか。
本記事では、AWSを利用する上で全てのユーザーが抑えておきたいセキュリティ対策のポイントについてご紹介していきます。
AWS自体のセキュリティ面
AWS自体のセキュリティ面に関しては、実は世界中の有名企業が利用していることからもわかるように高い信頼性があります。
実際にオンプレミスとどのように違うのかについても確認していきましょう。
オンプレミスとの違い
AWSはクラウドコンピューティングサービスの1つということで、インターネット経由で多くのユーザーがアクセスするためセキュリティ面に不安を覚えている方も多くいらっしゃいます。
もちろんクラウドも気をつけるべきポイントはいくつもありますが、AWSが管理しているからこそ自分自身で管理を行うよりもセキュリティ面でも安全だという部分は少なくありません。
通常オンプレミスの場合、あらゆるソフトウェアのセキュリティパッチなどが日々更新されていくため、常に最新の状態を保つには多くの管理が必要となります。
一方でAWSを利用する場合、 サービスは常にAWS側が最新の状態に保ってくれているため、セキュリティの穴をついた攻撃から自動的に身を守ることが出来ます。
企業とのセキュリティ投資の違い
オンプレミスでの運用では、企業が自社内においてセキュリティ構成や管理を費用を考慮しながら実施していく必要があるため、企業の人材や予算によってどこかで折り合いを付ける必要が出てきます。
一方でAWSでも自社サービスのセキュリティを引き上げるために多額の費用を投資しており、ユーザー側としてはサービスの利用料を支払う必要はありますが、セキュリティ対策も含まれるため、別途支払いが発生するわけではありません。
このように使い方次第ではありますが、自社でセキュリティ対策を実施するよりもむしろAWSを利用した方がセキュリティ面で優れていたり、コストパフォーマンスが高い可能性も高いのが事実です。
AWSを利用する上でのセキュリティ脅威
AWSを利用する上で脅威となりうるセキュリティリスクについて把握しておく必要があります。
中でもAWSのサービスを利用することで対策出来る脅威を中心にご紹介していきましょう。
データ漏えい
セキュリティリスクとして真っ先に挙げられることも多いデータ漏えいですが、AWSを利用する上でも脅威となりうるためセキュリティ対策が必要です。
対策方法としてはデータの暗号化などが挙げられ、AWSのサービスとしてはS3やRDS機能での暗号化、Key Management Service(KMS)やCloudHSMを利用した鍵管理などが有効です。
インジェクション
インジェクションはセキュリティの脆弱性を狙って悪意のあるコードを埋め込む攻撃方法で、AWS上のアプリケーションが狙われる可能性もあります。
アプリケーションの脆弱性をなくすことが対策として必要となるため、常にアプリケーションを最新の状態に保つことに加えてAWSのサービスとしてはWeb Application Firewall(WAF)を利用することも有効です。
ポートスキャン
意図しないポートが開放されている場合、ポートスキャンによりサービスを特定し悪用される可能性がAWSを利用する上でも注意事項として挙げられます。
意識的に不要なポートを閉じておくことはもちろんですが、AWSのサービスであるセキュリティグループの機能などを活用し、意図しないIPアドレスからのアクセスを遮断しておくことなども有効です。
ゼロディ
ゼロディは、パッチがまだ配布されていない・適用出来ていないセキュリティの脆弱性などを狙った攻撃で、AWS上のアプリケーションもターゲットとなります。
対策としてはAWSのセキュリティグループやWAFを利用して、意図しないアクセスをあらかじめ防いでおくことが有効です。
内部犯行
企業などでは内部犯行により、データや個人情報の漏洩が起きてしまうことも少なくありません。
対策が難しいようにも思えますが、AWSのIAMサービスなどを活用してユーザーに必要最低限の権限のみを与えることでアクセス出来るユーザーを限定しリスクを減少させることが可能となります。
DDoS
DDoS攻撃は聞いたことがある方も多いと思いますが、特定のサーバーに大量のトラフィックを送信することでサーバーダウンを狙う攻撃です。
AWSではDDoS攻撃から保護するためのサービスとして、「AWS Shield」が提供されており、AWSで実行しているアプリケーションを保護することが可能です。
ユーザーが実施すべきAWSのセキュリティ対策
セキュリティの脅威は日々進化しており、全てに対応するのはほぼ不可能であることも事実です。
しかし最低限これだけは実施しておきたいセキュリティ対策についてご紹介しておきますので、まだ対策されてないユーザーはすぐに確認しておきましょう。
パスワード認証に頼りすぎない
オンプレミスのように、従来よりパスワード認証を利用しているユーザーも多いかと思いますが、AWSを運用する上では公開鍵認証方式を利用することを推奨します。
公開鍵認証とは、AWSとユーザー間で保有する鍵情報により認証する方式で、パスワード認証よりも安全性の高いセキュリティ方式です。
キー情報を作成する必要があるため、よく分からないからや面倒だからと敬遠するユーザーも多いですが、セキュリティリスクの面からも手間を惜しまず利用することをおすすめします。
サーバーイメージを放置している
AWSではサーバーイメージのコピーを作成しておくことで、現在の環境をいつでも復元出来る便利な機能が利用出来ます。
AWSのメリットとしても挙げられるように、AWSを利用する上でセキュリティパッチなどの更新はAWS側で自動で行ってくれるため、ユーザーが管理する必要がないという大きなメリットがありますが、サーバーイメージのコピーにまで適用されるわけではありません。
サーバーイメージのコピーを適用する際には、最新のセキュリティパッチを適用することはもちろん、ソフトウェアに関しても全てアップデートすることを意識しておきましょう。
セキュリティグループの設定・見直し
AWSに対する脅威でも挙げましたが、ポートの閉じ忘れなど人的ミスが発生する可能性があるものはあらかじめ対応しておくのが確実です。
AWSではセキュリティグループと呼ばれる機能が標準のファイアーウォールとして利用でき、定義した通信のみを許可するホワイトリスト形式での制御を実施することが出来ます。
人的ミスを起こす前にセキュリティグループで通信管理をしっかりと行い、攻撃者の標的にならないような運用を目指しましょう。
さいごに: AWSのセキュリティ対策で安全なシステム運用を実施しよう
本記事では、AWSにおけるセキュリティ上の脅威と対策方法、意識すべきポイントについてご紹介してきました。
AWSに限らずセキュリティ対策は難しいこともあり疎かになりがちではありますが、インターネット上にサービスを公開する上では対策は必須です。
しっかりと定期的にセキュリティ面の見直しを行い、AWS上で安全なシステム運用が出来るよう意識したセキュリティ対策を実施しましょう。
