みなさん、こんにちは。「クラウド環境のセキュリティを強化するAWSサービス」の記事の中でAWSのセキュリティサービスの内容に関して解説しました。しかし、この記事の最後に述べたように、これらのサービスを使用するためには、それぞれの利点、欠点を明確にする必要があります。また、AWSのサービスは完全ではありません。効果的なセキュリティ対策を行うためには、AWSのサービスがどの部分を担っていて、どの部分が足りないかを知り、足りない部分をどうやって補っていくのかを考える必要があります。

この記事は、そのような情報を整理することによって、皆様方がより良いセキュリティ対策を行えるようになるための一助となることを目指しています。

AWSのセキュリティサービスの利点と考慮点

IAM

利点:基本的なID, Groupベースのリソースへのアクセス制御はこの機能でほぼ実現することができます。設定に関しても、従来のアクセス管理の機能を持つソフトウェアと考え方は同じなので、戸惑うこともなく設定を行えます。また、完全な無料のサービスであることも大きな利点です。また、既存の社内のしくみと連携することができることも大きなメリットになります。

考慮点:ロールベースのアクセス制御はあらかじめ定義されたものを使う場合は簡単なのですが、もっと細かく制御したいということになると、そういったロールやポリシーの作成や変更に内部の仕組みに関する知識が必要で、また煩雑で設定の工数もかかります。

Amazon GuardDuty

 利点:脅威の検知方法や対応方法に関しての多くの知見が蓄えられていて、それを使用することができることは大きなメリットです。また、対応を自動化できることもこれからのDecvOpsの世界では非常に有用です(DevOpsに関しては後の項目で解説します)。簡単に済ませようと思えば設定も難しくはありません。

欠点:このサービスで使用するのがAWS上で管理されている様々なログファイルなので、そのファイルに書かれる内容に関する知識がないと細かい設定を行うことができません。また、料金が発生するサービスですので、状況によっては高額な使用料金が請求されることもあります。ただ、30日間は無料のトライアル期間が設けられていますので、まずはこの期間に実際のログの内容や機能的な評価を行ってから実際の使用開始をすることができます。

Amazon Inspector

利点:このサービスを利用することによって開発における脆弱性を検証することができる点は大きなメリットです。これによって、運用フェーズに入る前にアプリケーション的なセキュリティ対応を行うことができます。また、実際の検査のための設定は多くないので、初めて行っても問題なく始めることができるでしょう。

考慮点:実際に検査を行うためには対象EC2のサーバー上にエージェントを導入して稼働させる必要があります。これによって他のプログラムとの互換性の問題が発生する可能性がありますし、OSのバージョン等によっては検査の実行が不可能な場合もあります。のインフラのリソースを使用します。また、料金が発生するサービスですので、検査の頻度等に関しては考慮する必要があります。

AWS Shield

利点:2つのバージョンがあるが、標準的な環境ではスタンダードを使用することによって、設定の必要もなく、無料で攻撃の検知を行うサービスをスタートすることができます。さらにアドバンストではより広範な攻撃にも対応できます。

考慮点:アドバンストは有料です。月額3000ドルと各機能から転送されるデータの量によって追加課金されます。

AWS Web Application Firewall

利点:最も利用されているWebアプリケーションに対するリスクを検知して自動的に対応できるというのは非常に有効な機能です。ユーザーの声を反映して機能的にも進化し続けているところは大きなメリットです。使用開始時の設定が簡単であることも重要な要素です。

考慮点:やはり従量課金を採用しているため、アクセスの多いシステムで使用すると料金が高額になります。また、WAFの機能を十分に活用するためにはWebアプリケーションの仕組みや攻撃の仕組みに関してのある程度詳細な知識が必要になります。

AWS Control Tower

利点:あらかじめきみこんだセキュリティ設定をサーバーの構築や設定に自動的に組み込むことができるのは今後のDevOpsの世界を見ても大きなメリットとなります。また、最低限の初期設定は複雑ではないので、短時間で立ち上げることができます。

考慮点:このサービスも追加料金が必要になります。設定の数によって課金されるので複雑な設定をすれば、それだけ料金も高くなります。また、ガードレールやアカウント・ファクトリーなど、独特の用語や設定内容が多いため」、実際に複雑な設定を行うにはある程度の知識が必要になります。

いかがでしたでしょうか。続きはまた、明日お届けします。

▼「無料相談」受付中です。AWSに関することは、どんなことでもお気軽にご相談ください。
https://www.sunnycloud.jp/contact-us/