COLUMN

AWSのセキュリティ対策とは？クラウド運用担当者のためのセキュリティチェック

皆様がご利用中のシステムはいかがでしょうか？

①自社でセキュリティ対策を行っている方
②ベンダーに任せてセキュリティ対策を行っている方
③よくわからないので放置している方

皆様この３パターンのどれかに当てはまるかと思いますが、セキュリティ対策が大切なことは明らかです。
本コラムでは、セキュリティ対策を怠ったことで発生してしまった事故事例を紹介しつつ、ご利用中のセキュリティ状態を確認できる弊社のセキュリティチェックをご紹介します！
この機会にAWS上のシステムに問題はないか自らの目で探ってみませんか？

Ⅰ．セキュリティ対策を怠ったことで発生してしまった事故事例

はじめに、対策を怠ったことで問題が発生した事例をご紹介します。

1.独自に運用していたWAFの設定ミスが原因で1億600万人を超える情報漏洩が発生

サイバー攻撃者によるSSRF攻撃※で、脆弱になったAWSのEC2が不正アクセスを受け、1億600万人を超える大規模な情報漏洩に至った。

※SSRF攻撃

通常の方法ではアクセスできない内部サーバーに対して攻撃を仕掛ける手法の1つ。公開サーバー（以下Aとする）から内部サーバー（以下Bとする）へアクセスできる場合、攻撃者はAに対して攻撃コマンドを送信するとAを経由してBへの攻撃が可能となる手法。

2.AWSストレージの設定を誤り顧客情報が622件流出

旧ストレージサーバからAWSへのデータ移行時、ストレージにバックアップを行うがそのストレージが公開設定になっていたことで顧客情報が流出。

3.ポートを開放したままにしていたことに気付かず、不正アクセスを受ける

ネットワーク機器のポートを閉じて運用していると思っていたが、実はポートを開放したままにしていたことに気づかなかった。結果、不用意なポートの開放が原因で不正アクセスを受けてしまった。

今回ご紹介した事例は、実際に起きている事故の一部です。
情報漏洩したことで企業の社会的信用を失い、責任問題に発展したり、更には会社の倒産に繋がる可能性もあります。皆様が利用しているAWS上のシステムは大丈夫でしょうか？
この機会にぜひNTT東日本のソリューション【セキュリティチェック】で解決しましょう！
Ⅱではお客様がセキュリティチェック前に行うAWS上のセキュリティ対策、Ⅲでは弊社が行うセキュリティチェックを説明します。

Ⅱ．AWS上のセキュリティ対策

AWSでは、セキュリティについて責任共有モデルという考え方を推進しております。責任共有モデルとは、【AWSとお客様にて共同でセキュリティを確保していく】という考え方です。サービスにも依存しますが、大きく分けてOSレイヤーより下のレイヤーをAWSで管理し、OS以上はお客様でセキュリティを確保していくという責任分界点を設けている考え方です。（図１）

図１よりネットワーク周りのセキュリティやOS周りのセキュリティ対策は利用者自身で行う必要があるとお分かりいただけると思います。つまり、対策内容によってクラウド環境の安全度合いが変わってくることがわかります。

図１

お客様が管理するAWS環境に対して、AWS側よりセキュリティの指針（Well-Architected Framework）が発表されています。
ネットワーク周りのセキュリティを強化（DDoS攻撃やアクセスコントロールを設定）することで各種サービスに対し必要外のアクセスを制限することが可能となりますが、それらを行っていない場合はあらゆる脅威にさらされている！とも言えます。 そこで、セキュリティチェックが必要となります。

Ⅲ．セキュリティチェック

セキュリティチェックは、

①お客様の既存クラウド環境をヒアリング
②セキュリティ項目を元に既存クラウド環境をチェック
③改善が必要なポイントをレポートと共に遠隔会議でご説明・ご提案

の3つの項目に分け約3週間でお客様の既存クラウド環境をチェックするサービスです。

クラウド環境をチェックする時は、AWSサービスの１つであるAWS Security Hubを利用いたします。時間帯に関わらず業務に支障をきたすことはございませんのでご安心下さい。
AWS環境の規模に関わらず、AWS環境丸ごとのセキュリティチェックを数十万円で実施いたします。
具体的な中身を①～③の項目でご紹介します。

①　お客様の既存クラウド環境をヒアリング

弊社担当者の中でも特にセキュリティチェックに詳しい担当者が、約60分クラウド環境のヒアリングをさせていただきます。
ヒアリングはweb会議を通じて実施させていただき、確認項目やお客様独自で意図的にセキュリティホールを作っていないか等をヒアリングします。

②　セキュリティ項目を元に既存クラウド環境をチェック

AWS基礎セキュリティのベストプラクティスとAWS CIS Foundations Benchmarkに基づいてクラウド環境をチェックいたします。現在は、それぞれおよそ50項目程度ですが、年々項目はアップデートされ増加します。例えば、IAM関係の項目であれば、「MFAが有効化されているか、アクセスキーが90日以内にローテーションされているか」等が項目として挙げられます。その他CloudTrail・EC2・S3などの対象サービスについてセキュリティ項目に基づいているかチェックいたします。

③　改善が必要なポイントをレポートと共に遠隔会議でご説明・ご提案

チェック項目を元に弊社にて図２のようなレポートを作成し、遠隔会議でクラウド環境におけるセキュリティ課題をご説明させていただきます。

図２

レポートには、セキュリティチェックを行った結果・結果に対する対処方法が記載されます。結果は、５段階で表示され緊急度が高いものからCritical/High/Medium/Low/Passedのように表示され、セキュリティに問題が無ければPassedという表示をいたします。Critical～Mediumにつきましては、修正を行う必要があるとされております。対処方法に記載された内容に基づいて修正することを推奨しておりますが、お客様ご自身で作業を行うことに不安がある場合には、オプションサービス（クラウド導入運用サービス）として代行作業を実施することも可能ですのでお気軽にご相談ください。

Ⅳ．まとめ

本コラムでは、クラウド環境のセキュリティを確認するセキュリティチェックについてご紹介いたしました。およそ100を超える項目からお客様のクラウド環境のセキュリティ項目をチェックし、セキュリティリスクを緩和させるための対処方法を25万円前後でご提案します。
クラウドの構築や運用ノウハウが少なくセキュリティ面に課題を感じていたお客様からは、「他社と比較するとより安価により広範囲で自社環境を確認頂き満足した」というお声も頂きました。
この機会に自社でご利用されているクラウド環境のセキュリティ見直しを行い、セキュリティを強固なものに変更しませんか？
もっと詳しい資料を閲覧したい方はこちらのリンクからダウンロードできます。

●クラウドセキュリティチェック for AWS 資料ダウンロードはこちらから

担当者との無料相談会を希望する場合はこちらのリンクからお申込できます。

●個別相談会をご希望の方はこちらから

皆様のお問い合わせをお待ちしております。