みなさん、こんにちは。本日はセキュリティを強化するAWSサービスについて、ご紹介します。

はじめに

「◯社で個人情報流出」
「◯社のシステムに外部から攻撃」
「◯社のシステム、またダウン」

このように、一般の重要ニュースに企業のシステムのセキュリティ事故の記事が頻繁に掲載されています。特に多くの企業がすでにクラウド環境に移行している現状では、セキュリティ対策はより重要で不可欠な企業の責任となっています。そんな環境において、クラウドサービスの大手AWSでは数多くのセキュリティ対策のためのサービスを提供しています。これらは機能的にも高いものが多く、AWS環境で有効に機能するようにデザインされたサービスであるため使用時の効果は高い場合が多いと言えます。ただ、それぞれのサービスの内容や対象範囲等に関して事前に理解しておかなければ使用を開始しても大した効果は出ないということもあり得ます。

このような情報はAWSのサイトの解説やサービス内容を記述したドキュメントとして提供されています。ただ、これらは一部英語であったり、日本語になっていても表現や技術用語等が一般的でなかったり、専門的な内容が多かったり、前提となる知識の説明がなかったりするため、非常に分かりいくい場合があります。

この記事ではAWSが提供している情報をベースにしていますが、より分かりやすい表現を使用し、専門家でなくてもAWSのセキュリティサービスの概要を理解し、どのサービスを使用するのが現状の環境で最も効果的なのかをある程度判断できるような情報を提供することを目的としています。

AWSのセキュリティサービスの位置付け

AWSのサービスの内容に入っていく前に、まずは体系的にサービスを理解するところから始めましょう。

AWSが公開している情報によれば、これから解説するサービスは以下の4つのカテゴリーに分けて定義されています。それぞれのサービスがどのカテゴリーに属しているかを明確にすることによって、そのサービスの目的とするところを理解することができ、それを実施することによって何が実現されるかをある程度明確にすることができます。以下の表を参照してください。

図 1 AWSサービスのカテゴリー

このようにAWSのサービスは体系的に構成されています。それでは各サービスの内容について見て行きましょう。

各サービスの概要と特徴

ここでは前の章で説明したAWSが2021年4月現在提供しているセキュリティ関連サービスの中からいくつかをピックアップして、そのサービスの概要と特徴を解説します。

AWS Identity & Access Management (IAM)

AWS Identity & Access ManagementはAWSリソースのアクセス制御をユーザーとグループをベースにして行うためのサービスです。明示的に使用していなくても内部的にはリソースへのアクセスはこの機能で制御されています。追加料金はかかりません。IAMは一般的なIDやグループ管理とロールに基づくリソースへのアクセス管理の機能を持っていますが、その特徴から見ると以下のような機能があります。

  • きめ細かいアクセス制御が可能

単純なACL(アクセスコントロールリスト)による制御だけではなく、使用IPアドレス、SSLの有無、多要素認証が行われているかどうか等も条件にすることができます。

  • 多要素認証(MFA)によるセキュリティ強化が可能

現在では多くの企業のセキュリティ基準で推奨あるいは必須となっている多要素認証(MFA)を組み込んだID 管理、アクセス制御が可能です。

  • アクセスの分析が可能

アクセスを分析することによって、制御が適切に行われているかの検証を行うことができます。

  • 社内ディレクトリとの統合

AWSのサービスを既存の社内の仕組みと統合することによって、すでに行っている制御をそのまま継続することができ、また独自の制御も行うことができます。SAML2.0をサポートするID管理であれば、どれでも使用できます。

Amazon GuardDuty

Amazon GuardDutyは、AWSの環境で使用されているアカウント、データ、およびサーバーリソース等への継続的な脅威を検出して、リスクを軽減するためのサービスです。検出するイベントの数と対象となるログの大きさによって課金されます。GuardDutyはAWS CloudTrail イベント(アカウントのアクティビティの記録)、Amazon VPCフローログ(管理対象のネットワーク間のIPトラフィック)、DNSログなどのデータを収集、分析してセキュリティの脅威が存在していて、そのようなリソースに対して攻撃を加えようとしているかを検出することができます。さらに、Amazon CloudWatch Events と AWS Lambda を活用することによって、検出した脅威に対してあらかじめ定義、実装しておいた対策を自動的に実行することも可能になります。

Amazon Inspector

Amazon Inspector では、AWS上で使用されているデータやリソースを自動的にチェック、評価して、脆弱性、標準からの逸脱の有無等を自動的に確認することができます。さらに、それらを評価し、自動的にレポートにまとめて提供してくれます。この処理で使用するナレッジベースはAWSのセキュリティグループによって過去から現在までの膨大な蓄積データから作成されています。例えばEC2インスタンスにおいてInspectorの評価を実施することによって、EC2インスタンスへの意図しないネットワークアクセスや、EC2インスタンス上の脆弱性をチェックできます。レポートとして報告されるのは数多くの内容があります。一例としてあげるなら、インターネットからアクセス可能になっているとか、リモートログインが有効になっているというような内容です。これらを参照し、是正することによってEC2インスタンスのセキュリティをより強固なものにすることができます。の

AWS Shield

AWS Shieldは、分散サービス妨害 (DDoS) に対するマネージド型保護サービスです。アプリケーションの稼働状態を監視してダウンタイムやレイテンシーを最低限に抑える様々な対応を行います。マネージド型のサービスなので検知時にAWSにサポート依頼をする必要はなく、サポート要員は検出された内容に基づき、最も適切な対応を実施します。AWS Shieldは2つの階層があります。

  • AWS Shield Standard

最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤー(OSIのレイヤー3とレイヤー4)のDDoS攻撃を防御します。Amazon CloudFrontやAmazon Route 53 とともに使用すると、ネットワークおよびトランスポートレイヤー(TCP/IPレベルのインフラ)を標的とするすべての既知の攻撃を総合的に保護することができます。

  • AWS Shield Advanced

Standardの機能に加えて、EC2、ELB、Amazon CloudFront等のリソースの上で実行されるアプリケーションを標的とした攻撃に対する保護も行うことができます。大規模で高度な DDoS攻撃に対する追加の検出および影響を最小限にするための対策と、ほぼリアルタイムの可視性を提供します。また、ウェブアプリケーションファイアウォールである AWS WAFと統合して機能します。

Amazon Web Application Firewall (WAF)

AWS WAF はセキュリティに悪影響を与えるような、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーションまたは API を保護するウェブアプリケーションファイアウォールです。名前の通りWAFの目的はネットワーク上のファイアウォールのようにウェブへのアクセスを定義に基づいて制御することです。WAFでは攻撃パターンを事前に定義して、ブロックするルールや、特定のパターンを持つトラフィックを検知して取り除くようなルールを事前に定義して実行することができます。ルールの数や受け取るリクエスト数によって課金されます。

AWS Control Tower

AWS Control Towerでは、マルチアカウントのAWS環境を、安全にセットアップし管理するための方法を提供しています。AWS Control Towerを使用することによって、AWSのベストプラクティスに基づいたID管理方法、監査設定、ロギング設定、ネットワーク設定等のセキュリティ対策があらかじめ組み込まれた内容で環境の構築を行うことができます。また、強く推奨されている高レベルルールを提供し、アカウントの作成、変更、削除の際に自動的にルールへの適合がチェックされ、これによって構築時だけではなく継続的なガバナンスの強化が図れます。

終わりに

ここまで述べてきたように、AWSではさまざまなセキュリティ関連サービスを提供しています。それぞれのサービスの概要は、AWSが提供している資料よりは分かりやすく記述してきましたので、基本的な部分はご理解いただけたと思います。ただ、これらの情報を見ただけでは実際の中身、使い勝手、自分にとっての効果等は分かりません。最も確実な方法は実際に使用してみることなのですが、サービスによっては追加料金が発生するものもあり、安易な設定によって膨大な請求が来ることもあり得ますので、この記事やAWSの資料では説明されていない情報を得る必要があります。そのために次の記事を用意しました。次の記事では、今回ご紹介したサービスの利点、考慮点や実際に何ができるのかをより詳細に説明して行きます。また、セキュリティ対策を行うにあたっては、これらのサービスでは実現できないが行う必要がある対策があります。これらに関してもセキュリティ対策の基本から網羅的に見て明確にして行きます。

いかがでしたでしょうか。SunnyCloudではセキュリティ最適化サービスもご提供しています!

▼「無料相談」受付中です。
https://www.sunnycloud.jp/contact-us/