COLUMN

AWSを使うなら意識すべきセキュリティ対策

AWSの普及が進んでいます。従来であればクラウド上に自社の情報資産を置くことに抵抗があった経営者も、急速な普及によりクラウド利用に前向きになっていることも多いのではないでしょうか。普及が進む今だから考えたい、AWSのセキュリティ対策について解説します。

AWSの安全性

AWSは、世界190カ国、数百万もの顧客を抱えています。その膨大な導入実績を支える要素のひとつが、強固なセキュリティであると言えるでしょう。国内規格であるISO 27001をはじめ、世界中の主要なセキュリティ規制や標準に準拠しています。サーバー群は安全性が非常に高い世界各国のデータセンターに分散して設置され、独自のインフラストラクチャ設計により強固な信頼性も実現しています。データセンター間のデータレプリケーションだけではなく、国をまたぐデータレプリケーションにも対応できます。災害の多い日本で、冗長性と耐障害性が求められるシステムを構築するためには、AWSは最適であると言えるでしょう。

自社でこうしたセキュリティ対策を施すためには、巨額のIT投資が必要となります。AWSは強固なセキュリティを低コストで実現できることを武器に、世界各国で利用者を増やしています。最高レベルのセキュリティ強度が求められる金融機関が、自社のサーバー群をAWS上に移していることでも、AWSが持つセキュリティレベルの高さがうかがえます。

このようにAWS自体のセキュリティが強固であることは疑いようもありません。しかし、AWSはいわばITサービスを提供するためのプラットフォームです。いくらプラットフォームが強固なセキュリティに守られていようとも、その上で動作するOSやアプリケーションのセキュリティ対策は別物です。AWSのセキュリティ強度に目を奪われて、その上で動作させるITサービスそのもののセキュリティをおろそかにしているようでは、深刻なセキュリティ事故を招きかねません。AWSのセキュリティを過信し過ぎないようにすることが重要です。

やっておくべきAWSのセキュリティ対策

AWSがIaaS型クラウドという性質を持つ以上、その上で動作させるOSやアプリケーションは自社で準備し、独自で管理しなくてはなりません。AWSを使うということは、地理的な制約を超えてOSやアプリケーションを管理し、ITサービスを提供するということです。こうしたAWS特有の運用方法を踏まえたセキュリティ対策が求められるのです。それでは具体的にどのようなセキュリティ対策を講じるべきなのでしょうか。

アクセスコントロール

AWSのクラウドサービスのひとつであるAmazon EC2を利用するとサーバーを立ち上げることができますが、このサーバーは誰もが自由にアクセスできることになります。企業が自社のシステムをサーバー上に構築するのであれば、不特定多数がアクセスできる状態のままでは危険なため、従業員に限定したアクセスコントロールを適切に設定する必要があります。

アクセスコントロールの設定は、Amazon EC2で設定できるセキュリティグループ機能を使います。セキュリティグループとは、AWSが標準装備しているファイアウォール機能のことです。AWS上で立ち上げたサーバーに対し、通信を許可する送信元IPアドレスやプロトコルを設定することができます。これにより、自社が保有するグローバルIPアドレスからの通信のみを許可するといった設定が可能となり、クローズドな環境が構築できるようになります。

立ち上げたAmazon EC2のサーバー上に、開発やメンテナンスといった管理目的で一時的にポートを開放し、必要な作業を行うこともあるでしょう。管理者であればこうした設定も容易にできるようになります。その一方で、こうしたポートを開けたままにしてしまったことが原因による不正アクセスは決して少なくありません。厳格な運用ルールのもと、開けたポートは確実に閉じるようにしましょう。

強固な認証方法の採用

オンプレミスでサーバーを立ち上げる場合であれば、管理者向けのIDに対する認証はパスワードで十分と言えるかもしれません。しかし、オープンな環境にさらされるAWSの場合はそうはいきません。標的型攻撃の対象になってしまうと、パスワードは簡単に破られてしまう可能性があります。特権IDとも呼ばれるAWSの管理者向けのIDは、パスワード以上の認証強度を持つ認証方式を採用する必要があるでしょう。

その点、AWSの場合はPKI(public key infrastructure、公開鍵暗号基盤)を利用した認証方式に対応しています。この認証方式を使うことで、理論上、PKI技術で作られたキーペアを持っているユーザーしかAWSの管理者サイトにログインできなくなります。AWSの管理者サイトへの不正アクセスは、サービスの停止やデータの改ざん、情報漏えいに直結します。パスワードの認証強度を過信せず、PKIベースのキーペアを使った認証手段を採用することでセキュリティの強化につながります。

このほかにもアプリケーション側の管理者向けIDが標的にされる可能性も考慮に入れる必要があります。アプリケーションの管理者IDの場合も、パスワード以外の認証手段を標準機能で提供するものや、サードパーティが提供している認証ゲートウェイと連携できるものもあります。そのアプリケーションが提供する機能や格納されているデータの重要性に応じて、最適な認証手段を適用するようにしましょう。

セキュリティパッチの適用

自社の従業員のみにアクセスを限定し、管理者向けの認証にPKIベースのキーペアを採用するだけではセキュリティ対策は決して十分とは言えません。サーバーやアプリケーションのパッチを正しく適用する必要があります。AWSに限らず不特定多数からアクセス可能なIaaS型のクラウドサービスの場合、標的型攻撃の対象にされるとOSやアプリケーションのセキュリティホールが狙われます。ベンダーから提供されるセキュリティに関する情報には気を配り、パッチは確実に適用するべきであると言えるでしょう。

パッチの適用によるシステムへの影響が心配であれば、検証用のサーバーをもう1台立ち上げて、十分なテストを行い本番環境にパッチを適用すればよいのです。自由にサーバーを構築できるという柔軟性こそがAWSの持ち味です。最大限活用してシステムへの影響度を最小化しながら、確実なセキュリティ対策を行いましょう。

適切な設定の管理

AWSが提供するクラウドサービスのひとつAmazon S3については、不適切なアクセス権限設定が後を絶ちません。2017年には、S3バケットが外部からリストまたは参照可能な状態となっているユーザーに向けて、Amazonから注意喚起のメールが配信されました。実際に、米国の調査機関ではS3上で誰でもアクセス可能な状態になっているケースを多数報告しています。その多くは、AWSサービス側にはセキュリティ上の問題はなく、適切なアクセス権限の設定をおこなっていないユーザー側のミスです。それだけに、少しの注意を振り向けるだけでこうした事態を避けることができます。

Amazon S3のデフォルト設定は、アクセスが許可されているユーザーのみがアクセスできる状態になっています。AWSを利用しているときは、S3へのアクセスがどうしても必要となるユーザーのみにアクセス権を付与するようにしましょう。S3バケットへのアクセス権限を付与する場合は、読み込み・書き込みの各権限も意識することが大切です。あくまで原則は、最低限のユーザーに最低限の権限を付与することにあります。

まとめ

AWSは強固なセキュリティを誇っていますが、AWSユーザーのセキュリティ対策も必要です。AWSのセキュリティ対策を怠った場合、企業の情報資産は容易に流出する可能性があります。AWSを過信することなく、必要なセキュリティ対策を実施するようにしましょう。

AWS CIS Benchmarkに沿って、運用中のクラウドセキュリティ設定を第三者視点でチェック!

ネットワークからクラウドまでトータルサポート!!
NTT東日本のクラウド導入・運用サービスを確認してください!!

セキュリティに興味がある人に読んで欲しいコラム:

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を

1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。