COLUMN

AWSを使うなら意識すべきセキュリティ対策

AWSの普及が進んでいます。従来であればクラウド上に自社の情報資産を置くことに抵抗があった経営者も、急速な普及によりクラウド利用に前向きになっていることも多いのではないでしょうか。普及が進む今だから考えたい、AWSのセキュリティ対策について解説します。

AWSの安全性

AWSは、世界190カ国、数百万もの顧客を抱えています。その膨大な導入実績を支える要素のひとつが、強固なセキュリティであると言えるでしょう。国内規格であるISO 27001をはじめ、世界中の主要なセキュリティ規制や標準に準拠しています。サーバー群は安全性が非常に高い世界各国のデータセンターに分散して設置され、独自のインフラストラクチャ設計により強固な信頼性も実現しています。データセンター間のデータレプリケーションだけではなく、国をまたぐデータレプリケーションにも対応できます。災害の多い日本で、冗長性と耐障害性が求められるシステムを構築するためには、AWSは最適であると言えるでしょう。

自社でこうしたセキュリティ対策を施すためには、巨額のIT投資が必要となります。AWSは強固なセキュリティを低コストで実現できることを武器に、世界各国で利用者を増やしています。最高レベルのセキュリティ強度が求められる金融機関が、自社のサーバー群をAWS上に移していることでも、AWSが持つセキュリティレベルの高さがうかがえます。

このようにAWS自体のセキュリティが強固であることは疑いようもありません。しかし、AWSはいわばITサービスを提供するためのプラットフォームです。いくらプラットフォームが強固なセキュリティに守られていようとも、その上で動作するOSやアプリケーションのセキュリティ対策は別物です。AWSのセキュリティ強度に目を奪われて、その上で動作させるITサービスそのもののセキュリティをおろそかにしているようでは、深刻なセキュリティ事故を招きかねません。AWSのセキュリティを過信し過ぎないようにすることが重要です。

やっておくべきAWSのセキュリティ対策

AWSがIaaS型クラウドという性質を持つ以上、その上で動作させるOSやアプリケーションは自社で準備し、独自で管理しなくてはなりません。AWSを使うということは、地理的な制約を超えてOSやアプリケーションを管理し、ITサービスを提供するということです。こうしたAWS特有の運用方法を踏まえたセキュリティ対策が求められるのです。それでは具体的にどのようなセキュリティ対策を講じるべきなのでしょうか。

アクセスコントロール

AWSのクラウドサービスのひとつであるAmazon EC2を利用するとサーバーを立ち上げることができますが、このサーバーは誰もが自由にアクセスできることになります。企業が自社のシステムをサーバー上に構築するのであれば、不特定多数がアクセスできる状態のままでは危険なため、従業員に限定したアクセスコントロールを適切に設定する必要があります。

アクセスコントロールの設定は、Amazon EC2で設定できるセキュリティグループ機能を使います。セキュリティグループとは、AWSが標準装備しているファイアウォール機能のことです。AWS上で立ち上げたサーバーに対し、通信を許可する送信元IPアドレスやプロトコルを設定することができます。これにより、自社が保有するグローバルIPアドレスからの通信のみを許可するといった設定が可能となり、クローズドな環境が構築できるようになります。

立ち上げたAmazon EC2のサーバー上に、開発やメンテナンスといった管理目的で一時的にポートを開放し、必要な作業を行うこともあるでしょう。管理者であればこうした設定も容易にできるようになります。その一方で、こうしたポートを開けたままにしてしまったことが原因による不正アクセスは決して少なくありません。厳格な運用ルールのもと、開けたポートは確実に閉じるようにしましょう。

強固な認証方法の採用

オンプレミスでサーバーを立ち上げる場合であれば、管理者向けのIDに対する認証はパスワードで十分と言えるかもしれません。しかし、オープンな環境にさらされるAWSの場合はそうはいきません。標的型攻撃の対象になってしまうと、パスワードは簡単に破られてしまう可能性があります。特権IDとも呼ばれるAWSの管理者向けのIDは、パスワード以上の認証強度を持つ認証方式を採用する必要があるでしょう。

その点、AWSの場合はPKI（public key infrastructure、公開鍵暗号基盤）を利用した認証方式に対応しています。この認証方式を使うことで、理論上、PKI技術で作られたキーペアを持っているユーザーしかAWSの管理者サイトにログインできなくなります。AWSの管理者サイトへの不正アクセスは、サービスの停止やデータの改ざん、情報漏えいに直結します。パスワードの認証強度を過信せず、PKIベースのキーペアを使った認証手段を採用することでセキュリティの強化につながります。

このほかにもアプリケーション側の管理者向けIDが標的にされる可能性も考慮に入れる必要があります。アプリケーションの管理者IDの場合も、パスワード以外の認証手段を標準機能で提供するものや、サードパーティが提供している認証ゲートウェイと連携できるものもあります。そのアプリケーションが提供する機能や格納されているデータの重要性に応じて、最適な認証手段を適用するようにしましょう。

セキュリティパッチの適用

自社の従業員のみにアクセスを限定し、管理者向けの認証にPKIベースのキーペアを採用するだけではセキュリティ対策は決して十分とは言えません。サーバーやアプリケーションのパッチを正しく適用する必要があります。AWSに限らず不特定多数からアクセス可能なIaaS型のクラウドサービスの場合、標的型攻撃の対象にされるとOSやアプリケーションのセキュリティホールが狙われます。ベンダーから提供されるセキュリティに関する情報には気を配り、パッチは確実に適用するべきであると言えるでしょう。

パッチの適用によるシステムへの影響が心配であれば、検証用のサーバーをもう1台立ち上げて、十分なテストを行い本番環境にパッチを適用すればよいのです。自由にサーバーを構築できるという柔軟性こそがAWSの持ち味です。最大限活用してシステムへの影響度を最小化しながら、確実なセキュリティ対策を行いましょう。

適切な設定の管理

AWSが提供するクラウドサービスのひとつAmazon S3については、不適切なアクセス権限設定が後を絶ちません。2017年には、S3バケットが外部からリストまたは参照可能な状態となっているユーザーに向けて、Amazonから注意喚起のメールが配信されました。実際に、米国の調査機関ではS3上で誰でもアクセス可能な状態になっているケースを多数報告しています。その多くは、AWSサービス側にはセキュリティ上の問題はなく、適切なアクセス権限の設定をおこなっていないユーザー側のミスです。それだけに、少しの注意を振り向けるだけでこうした事態を避けることができます。

Amazon S3のデフォルト設定は、アクセスが許可されているユーザーのみがアクセスできる状態になっています。AWSを利用しているときは、S3へのアクセスがどうしても必要となるユーザーのみにアクセス権を付与するようにしましょう。S3バケットへのアクセス権限を付与する場合は、読み込み・書き込みの各権限も意識することが大切です。あくまで原則は、最低限のユーザーに最低限の権限を付与することにあります。

まとめ

AWSは強固なセキュリティを誇っていますが、AWSユーザーのセキュリティ対策も必要です。AWSのセキュリティ対策を怠った場合、企業の情報資産は容易に流出する可能性があります。AWSを過信することなく、必要なセキュリティ対策を実施するようにしましょう。