COLUMN

AWSのセキュリティ対策は万全？クラウド利用時に知っておくべきインシデント対応法とは

【こちらもチェック】クラウドセキュリティのベストプラクティスに基づき、御社のクラウド状況を診断します。クラウドのセキュリティに不安のある方はこちらの資料をダウンロードしてください！

オンライン上での業務遂行を可能にするクラウドサービスは、今やあらゆる業界で情報システムのスタンダードとして導入されています。中でもAmazonが提供するAmazon Web Services(AWS)は、世界各国の名だたる企業に導入されており、信頼性の高いクラウドサービスの一つと言えます。

ただ、初めてのクラウド運用の際に懸念点となるのがセキュリティの問題です。クラウドサービスの拡大とともに、情報セキュリティの脅威も進化しており、サイバー攻撃を受ければ業務の継続が不可能になったりすることも想定されます。

本記事ではAWSにおけるセキュリティ対策の現状を詳細にご紹介しつつ、AWSを利用するにあたって、ユーザーが事前に知っておくべきインシデント対応の方法についてご紹介します。

【こちらもチェック】クラウドセキュリティのベストプラクティスに基づき、御社のクラウド状況を診断します。クラウドのセキュリティに不安のある方はこちらの資料をダウンロードしてください！

1.AWSのセキュリティは信頼できる？

AWSの導入を検討する際、情報システム担当者の方の多くが注目するポイントとして、AWSのセキュリティ対策が挙げられます。

結論から言うと、AWSのセキュリティ対策環境は大手クラウドサービスの中では高い水準に達しており、高度なサイバー攻撃や内部セキュリティリスクにも対応できる、柔軟性のあるシステムが構築されていると言えます。

1-1.データ保護からコンプライアンス遵守まで幅広くリスクを管理

AWSが強みとしている要素として、柔軟かつセキュアなクラウドコンピューティングの実現が挙げられます。ユーザーにとってのサービス体験価値を損なわず、同時にビジネスを遂行するにあたって必要な管理体制と、クライアントの信頼を得られる設計が念頭に置かれています。

社内で管理している社内外の情報はもちろん、社内で運用しているアプリケーションやデバイスの安全にも配慮したプラットフォームを構築し、外からの脅威に加え、内側からの脅威にも対応します。

参考：クラウドセキュリティ | AWS

ゼロからセキュリティ体制を構築するよりも、はるかに高度なシステムをフルスクラッチより短期間で整備できるのは、AWS導入の最大のメリットの一つと言えるでしょう。

専門家が管理する戦略的なセキュリティを実現

AWSが高度なセキュリティ環境を整備できている最大の理由は、専門家による高度なセキュリティ戦略が実現しているからです。世界トップクラスの専門家がAWSのモニタリングを担当し、既存システムの管理、及び革新的なセキュリティサービスの導入に努めています。

AWSが掲げる戦略的なセキュリティ対策において、メリットとして挙げているのが以下の4点です。それぞれのステップごとに、「こうきたらこうする」というプロセスが具体的に定められているため、常に高いリスク管理効果を発揮することができます。

参考：クラウドセキュリティ | AWS

防止

セキュリティ要件を満たしたAWS導入を実現するため、リスクを未然に防止する対策に努めています。ユーザーのアクセス権限の管理やIDおよびインフラストラクチャの保護、そして各種データの保護を実行します。

検出

不審な行動やアクセスを早期に検出し、被害を最小限に抑えたり、未然にリスクを回避したりする危険察知能力においても優れているのがAWSです。ロギングとモニタリングサービスを使用することで、社内のセキュリティ状況を可視化し、不審なアクションへのレスポンスを高めることができます。

対応

万が一インシデントに遭遇した場合、復旧作業の多くは自動化されており、有人によるセキュリティ対応よりもはるかに正確かつ迅速な対応が期待できます。

インシデントからの復旧後、セキュリティチームがインシデント発生の原因分析へと移行し、再発防止に向けた根本原因の分析を実施し、同じ過ちを起こさない組織作りに貢献します。

インシデントの発生によってコンプライアンスが守られなかった、顧客が離れてしまった場合でも、早期の復旧と万全の防止策によってブランド回復を高速化できます。

修復

AWSがセキュリティに強いと言われる所以の一つに、高度な修復オートメーション機能が挙げられます。セキュリティタスクの多くはあらかじめ自動化しておくことができるので、AWS環境に不備が生じた場合、リアルタイムで迅速に修復作業を進めてくれます。

2.AWSが実装する責任共有モデルと運用効果について

AWSプラットフォームは顧客にサービスを提供するだけにとどまらず、その運用責任を顧客と共有することで、高度なパフォーマンスの実現に貢献しています。これはAWSの責任共有モデルと呼ばれる方式で、顧客の運用上の負担軽減の面でも効果を発揮する仕組みです。

2-1.責任共有モデルの仕組み

責任共有モデルは、簡潔に言えばAWSと顧客の間での役割分担を定義づけたものです。責任共有モデルを実装することで、AWS導入企業はクラウドサービスの運用負担を削減できるとともに、責任の所在を明確にできるため、「自社でなすべきこと」に対して自覚的になり、ITガバナンスの強化にも繋がります。

責任共有モデルを効果的に活用する上では、AWSのクラウドにおけるセキュリティ責任と、顧客のクラウド上の責任の双方について理解しておくことが大切です。

参考：責任共有モデル | AWS

2-2.AWSのセキュリティ責任

AWSがクラウドで担うセキュリティ上の責任は、AWSのサービスを実行する上での全てのインフラストラクチャの保護です。ソフトウェアはもちろんストレージやデータベース、そしてハードウェアに至るまで、文字通り全てがAWSの施設内で賄われ、管理されます。

そのため、AWS利用顧客がAWSの利用に当たってインフラの管理責任を問われることはなく、インフラ管理の業務効率化に貢献してくれます。

2-3.顧客のセキュリティ責任

続いて、顧客のクラウド利用におけるセキュリティ責任です。AWS利用者が何に対して、どれくらいの責任を負うのかについては、AWSのどんなサービスを利用するかによって異なります。

Amazon Elastic Compute Cloud (Amazon EC2) などのIaaSを利用する場合、顧客のセキュリティ責任はすべてのセキュリティ構成、および管理のタスクを顧客側で実行しなければならず、OS管理やファイアウォール構成も必要です。

一方でAmazon DynamoDBなどの、データの取得や保存などを担うサービスを利用する場合、データ管理やアセットの分類、IAMツール利用における権限管理に責任を負います。自社で必要としているサービスを踏まえた上で、責任共有モデルに基づき、自社で対応しなければならないタスクは何なのかを確認することが大切です。

2-4.責任共有モデルの運用に向けたエクササイズプログラムも

責任共有モデルの仕組みに対して抵抗がある、あるいは馴染みがないため、適切な運用ができるか心配という顧客に向けて、AWSは専用のエクササイズプログラムを設けています。

「AWS クラウド導入フレームワーク (AWS CAF)」や「Cloud Audit Academy」はその代表格とも言えるサービスで、AWS導入の検討を効果的に進めたり、クラウドを最大限活用するためのスキルセット取得を促したり、DX人材の育成につなげたりできます。

公式サイト：

AWS クラウド導入フレームワーク

Cloud Audit Academy - アマゾン ウェブ サービス

3.オンプレミス環境とAWS環境のセキュリティ上の相違点

AWSの仕組みを理解し、最大限強みを活かす上では、オンプレミスとクラウド(AWS)の違いを理解しておかなければなりません。

オンプレミスは社内にサーバーを設置し、独自のシステムとネットワークを活用してサービスを利用する方法です。これに対してクラウド方式のAWSは、社内サーバーを持たずにインターネット経由でサービスを利用する方法です。

サービスを利用する際の導線に大きな違いがあるオンプレミスとクラウドですが、セキュリティの観点から見ても、いくつかの相違点が見られます。

3-1.セキュリティレベル

まずは、セキュリティレベルの違いについてです。オンプレミスの場合、セキュリティ対策についても自社で構築することとなるため、自社が求めるレベルのセキュリティ対策を満足がいくまで施すことができます。

また、オンプレミス型のシステムはローカルネットワークで利用できるので、セキュリティリスクとなりやすいインターネット接続を回避し、不正アクセスや情報流出の問題を回避できるのが特徴です。

一方でクラウド型のAWSは、クライアントに対して国際規格に到達している、一律のセキュリティ要件を満たしたサービスを提供します。サイバーセキュリティ対策は日進月歩で、新たな脅威に対して迅速なセキュリティアップデートが求められますが、AWSであればクラウドサービス提供事業者からの自動アップデートで常に最新のセキュリティ規格を利用可能です。

オンプレミスの場合、セキュリティアップデートも自社で実施しなければならず、脆弱性が発生する要因にもなりかねません。

3-2.維持管理のコスト

続いて、維持管理のコストです。システムを最新環境にアップデートし、パフォーマンスに優れるソフトやアプリと互換性を維持するためには、オンプレミスの場合は定期的な改修作業が発生します。

自社システムを長年使い続けていると、システムが最新のOSやソフトと互換性を失ってしまい、希少な専門性の高いエンジニアの確保が求められるようになります。セキュリティアップデートも旧式のOSでは実行できず、レガシーコストとして企業に大きなシステム維持コストを強いることにもなりかねません。

一方でAWSの場合、インフラの維持管理負担は全てAmazonが引き受けるため、そのコストを顧客側が担う必要はないのが強みです。自社で必要なのは開発エンジニア、および責任共有モデルにおけるユーザー責任を担う業務を担当する運用エンジニアだけで、保守点検のための人材を必要以上に配置しなくて良くなります。

また、AWSは非常にポピュラーなプラットフォームであるため、運用スキルを持った人材も豊富です。人材コストが高騰しづらく、中長期的な人件費増加の心配はありません。

3-3.BCP対策

情報セキュリティを考える上では、サイバー犯罪以外にも物理的な脅威に対しての脆弱性も考慮する必要があります。

日本企業の場合、最も大きな懸念となるのが津波や地震、それに伴う火事やビルの倒壊、盗難といったインシデントです。

自然災害によって引き起こされるインシデントに直面しても、事業の継続を可能にする取り組みはBCP対策と呼ばれ、各社で対策が進んでいますが、BCP対策に有効なのはオンプレミスよりもクラウドです。

オンプレミスの場合、システムは自社サーバーに紐づいているため、物理サーバーに何らかの被害が発生すると、社内システムがダウンする可能性があります。一方でAWSをはじめとするクラウドサービスは、システムを運用する会社とサーバーの場所は別であるため、自然災害によってシステムがダウンする心配は極めて低いと言えます。

また、AWSのような巨大クラウドサービスの場合、複数のバックアップサーバーが世界中に設置されているため、万が一AWSのサーバーが被害を被ったとしても、迅速な復旧が可能です。

4.AWSセキュリティのメリットとデメリットについて

ここで、AWSがセキュリティ上有しているメリットとデメリットについて、簡単に整理しておきます。

4-1.AWSのセキュリティ上のメリット

AWSのセキュリティ上の最大のメリットは、グローバルスタンダードのセキュリティ対策を導入できる点です。セキュリティアップデートは頻繁に行われ、維持管理費用も月額利用料金に含まれるため、新たに支払いを求められることはありません。

BCP対策としても優れた効果を発揮し、災害大国である日本の地政学上のリスクにも対応できる、優れたクラウドサービスです。

4-2.AWSのセキュリティ上のデメリット

AWS運用において注意すべきセキュリティ上のデメリットとしては、責任共有モデルを採用しているが故の自社対応が発生する点です。

AWSの利用は、システム構築と維持管理を外注するのとは異なり、OSやアクセス権限の管理などは自社独自に取り組む必要があります。

必要なセキュリティ構成の検討や、管理タスクの実行が求められることもあるため、手放しにシステムを運用できるわけではない点に注意が必要です。

5.クラウド利用者が最低限知っておくべきAWSセキュリティサービス

AWSは、必要に応じてサービス利用者に独自のセキュリティサービスを提供しています。AWS運用の際に知っておきたいサービスの概要について、ご紹介します。

参考：セキュリティ、アイデンティティ、およびコンプライアンス製品 – アマゾン ウェブ サービス

5-1.Identity & Access Management(IAM)

AWSシステム上のユーザーID、及びリソースやアクセス権限を管理するためのツールとして提供されているのがIAMをはじめとする各種サービスです。

権限を持たないユーザーの不正なアクセスを未然に防止し、各アプリユーザーのIDを一括で管理することで、一元的なITガバナンスの強化を実現します。

5-2.脅威の検出とモニタリング

何らかのセキュリティ上の脅威を排除するためには、脅威を脅威と見なせる判別機能とモニタリング環境が必要です。

AWSではこれらのタスクを実行するため、セキュリティチェックを自動化する「Amazon Security Hub」や、ユーザーアクティビティとAPI使用状況を追跡できる「AWS CloudTrail」といったサービスを利用できます。

ソフト面での脅威検出だけでなく、「AWS IoT Device Defender」といったツールを使えば、IoT外部デバイスのセキュリティ管理といった、ハード面での管理も実現します。

5-3.ネットワークとアプリケーションの保護

ネットワークおよびアプリの保護においては、「 AWS ネットワークファイヤーウォール」やDDoS保護を実行する「AWS Shield」が役に立ちます。

また、悪意のあるウェブトラフィックを回避するために「AWS Web Application Firewall (WAF)」が活躍するなど、ニーズに応じた保護ツールのバリエーションも備えているのが強みです。

5-4.データの保護

社内データを外部に漏らさないためには、機密データの検出と保護を一貫して担う「Amazon Macie」や機密情報を一括でマネジメントできる「AWS Secrets Manager」などのサービスが有効です。

キー管理をハードウェアベースで実行し、コンプライアンスを遵守する上では、「AWS CloudHSM」の導入で業務を効率化できます。

5-5.インシデント対応

インシデントが発生した際、迅速な復旧と事後予防に貢献するのが「Amazon Detective」で、システム上の潜在的な脅威の分析と調査を実行してくれます。アプリケーションの復旧を最小限のコストで実行するには「AWS Elastic Disaster Recovery」の活用が効果的です。

6.高い情報セキュリティ効果が期待されるAWSの機能

AWSユーザーには相応のセキュリティ責任が与えられるとはいえ、AWSが自ら提供するセキュリティ対策ツールの効果はお墨付きで、最新のセキュリティ脅威に対しても有効性が証明されています。

6-1.各種マルウェア対策

メールや各種不正アクセス手法を通じて、企業に重大な被害を与えるマルウェア対策として、AWSは各社パートナー企業と連携しながら、確実な脅威の排除を実現しています。

AWSがセキュリティ対策のために提携しているパートナー企業は複数ありますが、代表的な企業としては「ウイルスバスター」シリーズでお馴染みのトレンドマイクロ社が挙げられます。

同社の主要サービスの一種である「File Storage Security™」をデータ処理実行ツールの「AWS S3 Object Lambda」と併用することで、アプリケーションにデータを返す際、マルウェアが含まれているかどうかを検出することができます。

マルウェアスキャンはリアルタイムで行われ、瞬時に検出可能であるため、システムへのマルウェア侵入を水際で防止できる、優れた体制を整備できます。クラウドストレージであるAmazon S3に万が一マルウェアが混入していた場合でも、この機能があればシステムへの感染を回避可能です。

参考：Trend Micro Cloud One – File Storage Security による S3 Object Lambda を活用したセキュリティ対策 | AWS JAPAN APN ブログ

6-2.Log4j対策

Javaアプリ開発者にとって有益な一方、深刻な脆弱性が問題視されているLog4jの不正遠隔操作の脅威を払拭する上でも、AWSのセキュリティサービスは有効に機能します。

上記で紹介したファイアウォールサービスの「AWS WAF」を利用することで、社内リソースの保護に努め、脆弱性をついたサイバー攻撃から組織を守ることができます。

また「Amazon Inspector」を導入することで、Log4jをはじめとする何らかの脆弱性の有無についても迅速に検知することができるなど、何層にもわたってシステムを脅威から遠ざけられるのが強みです。

参考：Log4j 脆弱性に対する AWS セキュリティサービスを利用した保護、検知、対応 | Amazon Web Services ブログ

6-3.サプライチェーン攻撃対策

間接的なサイバー攻撃手法として、近年増加傾向にあるサプライチェーン攻撃に対しても、AWSは有効な対応策を有しています。

AWSチームがサプライチェーン攻撃の脅威から守るための要因として掲げているのが、

• 機密性：特定データの表示を制限すること
• 整合性：データが漏えいしないこと
• 可用性：アクセス権限を必要な人物に限定すること

という3つの要素です。この条件をクリアするために不可欠とされているのが、クラウドを解した会社同士のコラボレーションで、第三者によって提供される安全な環境での情報共有と利活用が、最大のリスク回避になるとしています。

AWSは世界の主要産業となっている半導体分野において、優れたクラウドプラットフォームとして、サプライチェーンを脅威から守るための役割を果たしており、新たな脅威に対しての継続的なセキュリティレベルの向上にも努めています。

参考：クラウドを使用した半導体サプライチェーンの保護 | AWS Executive Insights

7.インシデントを引き起こさないための「設計によるセキュリティ(SbD)」とは

高度なセキュリティを実現する上で、重視されている考え方が「設計によるセキュリティ」(Security by Design,SbD)です。設計によるセキュリティは、システムを導入後にセキュリティ対策を後付けで施すのではなく、システムの企画・設計の段階からセキュリティ対策をデザインするという考え方です。

AWSは大きく4段階のフェーズに分けて、SbDを取り入れたサービス利用を推奨しており、抜本的なAWSアカウントのセキュリティとコンプライアンス強化を促しています。

参考：設計によるセキュリティ – アマゾン ウェブ サービス

7-1.フェーズ1：要件の把握

1つ目のフェーズは、要件の把握です。AWS上でどのような制御を実現したいのかを文書に書き起こし、必要なセキュリティルールの把握を促します。

7-2.フェーズ2：要件を満たしたセキュア環境の構築

2つ目のフェーズは、要件を踏まえたセキュア環境の構築です。アクセス権限や暗号化要件、ログ記録の種類を定義づけていき、安心してシステム運用ができる環境へと移行を進めます。

7-3.フェーズ3：テンプレート使用の強制

3つ目のフェーズで、テンプレート使用の強制を進めます。規定の要件とは異なる環境へと勝手に移行し、安全な状態が失われてしまわないよう、テンプレートを強制することで安全性を確保します。

7-4.フェーズ4：検証アクティビティの実行

4つ目のフェーズが、検証アクティビティの実行です。セキュア環境のテンプレートを活用してAWSをデプロイし、広範な監査要件を満たせるITガバナンスを実現できます。

【お問い合わせ】クラウドのセキュリティに不安を感じたら、お気軽にNTT東日本までご相談ください。

8.情報セキュリティ事故発生時に求められるクラウド利用者の対応法

残念ながら、どれだけ高度な情報セキュリティ対策をシステムに施しても、インシデントに遭遇する可能性をゼロにすることはできません。この前提を踏まえて覚えておきたいのは、事故発生時に迅速な対応を実現し、被害を最小限に抑えることです。

独立行政法人 情報処理推進機構 （IPA）では、「情報漏えい発生時の対応ポイント集」にて情報漏えいが発生した際の、理想的な対応プロセスを紹介しています。情報セキュリティ以外のインシデントにも応用が効くため、どのような手順で対処すればよいのかを確認しておきましょう。

参考：情報漏えい発生時の対応ポイント集 (ipa.go.jp)

8-1.発見・報告

インシデントの兆候やその事実が確認された場合、速やかに責任者へ報告の上、対応を始めます。ログなどに不正アクセスの記録が残っている場合は証拠として残しておき、外部からの通報には通報者の連絡先などを控えた上、詳細を確認します。

8-2.初動対応

インシデントの被害拡大抑制、及び二次被害の拡大防止に向けた対策本部を設置し、応急処置を行います。システムの隔離・遮断によって不正プログラムの拡散を防いだり、サービスを停止してユーザーへの拡散・感染を回避します。

8-3.調査

被害状況や根本的な解決策を検討するための、情報収集を行います。インシデントに関する調査を進め、原因究明につながる証拠の確保などを進めます。

8-4.通知・報告・公表等

インシデントによってどのような被害がもたらされたのかについてまとめ、警察やIPAに届け出たり、マスコミへ公表したりします。情報漏えいが発生し、個人情報が流出した場合には、基本的に個人への通知を行います。また、ランサムウェアなどによる脅迫といった犯罪行為が発生している場合、警察へ必ず届け出ましょう。

インシデント情報についてはできる限り開示するのがコンプライアンスの観点から重要ですが、情報公開によって更なる被害が懸念される場合、公表時期はずらす必要があります。

8-5.抑制措置と復旧

インシデント被害の拡大抑制に向けた取り組み、及びシステムの復旧を行います。インシデントによって社外の人間や個人に被害が及んだ場合、あるいはその懸念に備え、専用窓口を設置しておきます。

窓口経由で情報を収集することで、事態の掌握を進め、それ以上の被害拡大を抑えるきっかけをつかめます。

8-6.事後対応

事態の沈静化とシステムの復旧に成功した後は、事後対応に移行します。再発防止の検討と施策の実行を進め、経営陣には調査報告書を提出します。

インシデントによって被害を被った人への補償や、内部職員への責任追求や処分を実施し、必要に応じて一連の対応に関する情報公開を進めます。

9.まとめ

本記事では、AWSを運用する際に知っておきたい、AWSのセキュリティ対策についてご紹介しました。

AWSは責任共有モデルという、サービスとサービス利用者がセキュリティに対して別個に責任を負う仕組みを採用していますが、グローバルスタンダードの高い水準を満たせる機能が同サービスには実装されているため、運用ルールを正しく設定することで、安全に利用できます。

NTT東日本では、AWSをはじめとする安全かつ有効なクラウドサービス導入をサポートしており、AWSに特化した、安心のセキュリティ設定をお客さまに合わせてご提供しています。また、AWSの資格保有者が個別にシステムのセキュリティチェックを実施し、ベストプラクティスに則ったクラウド運用を、客観的な視点からご提案できます。

AWS運用に伴うセキュリティ不安を抱えている際には、お気軽にご相談ください。