社内のAWSマルチアカウントの利用状況を可視化するにはどうすればいいの?
本コラムでは、AWSマルチアカウントの利用状況を可視化するために有用となるサービスと効果的な活用法と運用上の注意点を解説します。
COLUMN
AWSコンソールへの不正アクセスを可視化してみた
AWSの情報セキュリティを考える際、「いかに不正アクセスを防ぐか」という防御の視点は非常に重要です。しかし、攻撃手法が巧妙化する現代において、100%の防御は難しいと言わざるを得ません。そこで重要になるのが、「万が一侵入された際に、いかに迅速にその兆候を検知し、状況を把握できるか」という視点です。この記事では、膨大なログの中から不正アクセスの兆候をあぶり出し、誰もが直感的に状況を理解できる「可視化」のアプローチに焦点を当て、その考え方と実践方法を解説します。
目次:
1. なぜ不正アクセスの「可視化」が重要なのか?
AWSアカウントの操作ログは、AWS CloudTrailによって記録されていますが、その量は膨大です。テキストベースのログを日々監視し、人の目で異常な兆候を見つけ出すのは現実的ではありません。
ログを可視化することで、以下のような効果が期待できます。
- 直感的な状況把握
地図やグラフで示すことで、普段との違いを直感的に発見しやすくなります。 - 傾向の分析
特定の時間帯や特定のユーザーに不審な動きが集中していないか、傾向を把握する手助けとなります。 - 迅速な意思決定
インシデント発生時に、状況を素早く関係者に共有し、対応方針の決定を支援します。
このように、セキュリティログの可視化は、インシデントレスポンスの初動を早める上で重要な役割を担います。
2. 検知すべき「不審な兆候」の具体例
まず、どのような操作を「不審な兆候」として捉えるべきでしょうか。以下に代表的な例を挙げます。これらは、可視化ダッシュボードで重点的に監視することが望ましい項目です。
- 地理的な異常:普段と違う場所からのアクセス
普段は日本国内からしか利用がないはずのアカウントに、海外のIPアドレスからログインされている。 - 時間的な異常:ありえない時間帯でのアクセス
深夜や早朝、休日など、通常の業務時間外にコンソールへのログインやAPI操作が行われている。 - 量的な異常:短時間での大量の試行
特定のIPアドレスやユーザーから、短時間に大量のログイン失敗が記録されている(ブルートフォース攻撃の可能性)。 - 権限に関する異常:特権アカウントの不審な利用
普段は使わないはずのルートアカウントが利用されている、または特定のIAMユーザーによる不審な権限昇格の試みなどが記録されている。
3. 不正アクセスの可視化に有用なAWSサービス
不正アクセスの兆候を捉え、可視化するために中心的な役割を果たすAWSのネイティブサービスを紹介します。
- 横にスクロールします
| サービス名 | 役割 | 解説 | 利用シーンの例 |
|---|---|---|---|
| AWS CloudTrail | 記録 (監視カメラ) |
AWSアカウント内で行われたほぼ全ての操作を記録するサービスです。全ての分析の基礎となる、最も重要な情報源です。 | 全ての分析の基礎として、AWSアカウントの操作を記録・保存したい。 |
| Amazon GuardDuty | 検知 (賢い警備員) |
CloudTrailログなどを機械学習で自動的に分析し、悪意のあるアクティビティや不正な振る舞いを検出するサービスです。 | 専門家がいなくても、手軽に脅威の自動検知を始めたい。 |
| Amazon Athena | 分析 (データ分析官) |
S3に保存されたログに対し、標準的なSQLを用いて直接クエリを実行できるサービスです。 | GuardDutyの検知をきっかけに、特定のインシデントをSQLで深掘り調査したい。 |
| Amazon QuickSight | 可視化 (レポーター) |
Athenaでの分析結果などを基に、グラフやマップで構成されたインタラクティブなダッシュボードを作成するBIサービスです。 | 分析結果をダッシュボードで可視化し、関係者へ定常的に状況を報告・共有したい。 |
4. 可視化ダッシュボード設計のアプローチ
効果的なダッシュボードを設計するには、「何を発見したいのか」という目的意識が重要です。「サマリー」「地理」「時間」「詳細」といった複数の視点を組み合わせて構成することが、状況把握の質を高めることにつながります。
サマリービュー(全体像の把握)
ダッシュボードの最上部に、直近の「ログイン失敗総数」や「脅威検知数」などを配置します。
ジオグラフィックビュー(地理的状況の把握)
ログイン元のIPアドレスを世界地図上にマッピングすることで、予期せぬ国からのアクセスが一目瞭然となります。
トレンドビュー(時間的傾向の把握)
ログインの試行回数を時系列グラフで表示し、深夜帯の急増や休日におけるアクティビティといった時間的な異常の発見を支援します。
ディテールビュー(詳細情報の確認)
異常が疑われるイベントの詳細(日時、ユーザー名、IPアドレスなど)を確認するための表を用意します。
5. まとめ
本記事では、AWSコンソールの不正アクセス対策として、侵入後の迅速な「検知」と状況を把握するための「可視化」というアプローチを解説しました。
- AWSの情報セキュリティ対策では、防御だけでなく、万が一の事態を迅速に検知する仕組みが重要です。
- CloudTrail、GuardDuty、Athena、QuickSightといったAWSネイティブサービスを組み合わせることで、効果的な可視化基盤の構築が見込めます。
- まずはGuardDutyを有効化することから始め、自社の情報セキュリティ要件に合わせてダッシュボードの構築を検討することをおすすめします。
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。