GMOサイバーセキュリティ byイエラエ株式会社

AWSでセキュリティ対策するには?基本や関連サービスを紹介

更新日:2024.11.15
セキュリティ対策
AWSでセキュリティ対策するには?基本や関連サービスを紹介

クラウドサービスの利用が広がる中、AWS(Amazon Web Services)といったパブリッククラウドを導入する企業も増加していますが、セキュリティ対策が不十分だとクラウド特有のリスクにさらされる可能性が高まります。この記事では、AWSのセキュリティ対策が必要な理由や、AWSが提供する「責任共有モデル」に基づくセキュリティの役割分担を詳しく解説します。
また、アクセス権限管理やデータ暗号化、監視・ログ管理、脆弱性管理のポイントに加え、AWSの主要なセキュリティサービスを紹介し、実際の対策方法をわかりやすく説明しています。
さらに、セキュリティベンダーによる手動診断の活用方法も紹介し、クラウド環境の安全性を高めるための実践的なアプローチをお伝えします。

セキュリティの専門家によるクラウドセキュリティ診断サービスはこちら

AWSのセキュリティ対策が必要な理由

クラウドサービスの利用が企業で急速に増えていますが、それに伴いクラウドに起因する情報漏洩やサイバー攻撃も増加しています。クラウド利用時の設定ミスにより、15万人の個人情報が流出した、というインシデントも近年発生しています 。
企業の重要なデータやシステムがクラウド上にあると、外部からのアクセス経路が増えるため、従来のオンプレミス環境とは異なるリスクが生じます。例えば、不正アクセスによる機密データの漏洩や、クラウド内で悪意のあるソフトウェアが広がるなどです。

AWSは多くの企業が利用する世界シェア1位のクラウドサービスであり、AWSを提供するAmazon社としても、セキュリティを最優先事項として、様々な対策や、セキュリティサービスが提供されています。しかし、利用者側のセキュリティ対策が不十分だと、リスクが完全に防げるわけではありません。
AWSのセキュリティ対策は企業の重要なデータを守るための第一歩であり、設定ミスや運用の甘さが思わぬ被害につながります。したがって、定期的なセキュリティ対策のチェックや見直しが必要になっています。

AWSの責任共有モデル

AWSでは、セキュリティに関して「責任共有モデル」を採用しており、AWSと利用者がそれぞれの役割でセキュリティ対策を行います。AWSが提供するクラウドインフラ自体の保護はAWSの責任ですが、クラウド上でのデータやアクセス設定など、利用者側の操作で管理できる部分については利用者の責任とされています。
AWSの堅固な基盤と利用者の適切な設定・運用が組み合わさって、強固なセキュリティが保たれます。

AWS側の責任範囲

AWSの責任は、クラウドの「基盤」を守ることにあります。具体的には、データセンターやハードウェア、ネットワーク設備など、インフラの物理的なセキュリティや、仮想化技術による基盤の分離を担っています。
例えば、AWSはデータセンターに侵入されないよう厳重なセキュリティ対策が講じられており、物理的なアクセスは厳しく制限されています。
また、AWSのサービスは高い可用性を実現するため、災害時にも迅速にリカバリする仕組みが整備されています。これらの基盤部分は、利用者が設定を変えることはできないため、AWSが全責任を持って守っています。

利用者の責任範囲

一方、利用者で設定が可能な部分については、利用者の責任となります。具体的には、AWS上で稼働させるアプリケーションやデータ、アクセス権の管理にあります。例えば、アクセスコントロールの設定ミスで、外部からの不正アクセスが許されてしまうことがあります。
また、データの暗号化や、ファイアウォールの設定など、クラウド内でデータをどのように保護するかも利用者の責任です。
AWSは多くのセキュリティサービスを提供しており、「AWS Identity and Access Management (IAM)」を使えば、社員やシステムごとにアクセス制御を設定できます。利用者がAWSの機能を適切に活用することが、強固なセキュリティを実現する鍵となります。

クラウドとオンプレミスのセキュリティの違い

オンプレミス環境では、サーバーやネットワークのセキュリティを自社で管理する必要がありました。これに対して、クラウド環境では、物理的なインフラの管理をAWSに任せることができます。
そのため、データセンターのセキュリティや災害対策といった面でAWSの強力なインフラの恩恵を受けられる一方、利用者側で設定・管理する項目も増えます。

クラウドではアクセスがインターネットを通じて行われるため、設定ミスがあると外部からのアクセスが容易になるリスクがあり、アクセス管理や暗号化がより重要です。クラウドならではのセキュリティの特徴を理解し、設定を慎重に行うことが必要です。

AWSのセキュリティ対策で抑えておくべきポイント

AWSを利用する際には、以下の4つの観点でセキュリティ対策を強化することが重要です。

アクセス権限の管理

AWS環境へのアクセスは適切に管理する必要があります。特に、アクセス権限の管理が不十分だと、意図しないユーザーが重要なデータにアクセスするリスクが増大します。AWSでは「最小権限の原則」を用いて、それぞれの権限について必要最低限のアクセス権のみを付与することでセキュリティを高められます。

データ暗号化

クラウド上のデータを暗号化することで、情報漏洩のリスクを軽減できます。データは保存中だけでなく、転送中も暗号化することで、万が一データが盗まれた場合でも、内容を解読されにくくします。

監視とログ管理

システムの監視とログ管理は、セキュリティインシデントを早期に発見し、迅速な対応を可能にするための重要な要素です。AWSの各種監視サービスを活用し、異常なアクセスや挙動を見逃さないようにしましょう。

脆弱性管理

AWS環境での脆弱性を定期的にチェックし、必要に応じてサーバーやデータベースエンジンへセキュリティパッチやアップデートを適用することが大切です。脆弱性管理を徹底することで、攻撃リスクを未然に防ぐことができます。

AWSのセキュリティサービス

AWSでは、上記の観点でセキュリティ対策を支援するために、多くのセキュリティサービスを提供しています。主要なセキュリティサービスについての概要を見ていきましょう。

AWS Identity and Access Management (IAM)

IAMは、AWSにおける認証(アクセスするユーザーを確認)と認可(アクセス範囲の制御)のサービスです。認証と認可については、海外旅行をイメージするとわかりやすいでしょう。
パスポートでの本人確認が認証、航空券のチケットが認可(飛行機に乗る権限を得ている)になります。
AWSにおいてIAMはユーザーとグループのアクセス権限を管理し、適切なロールとポリシーを設定できるサービスです。例えば、管理者においても必要最小限の権限を付与し、ルートアカウントやフルアクセス権限のロールは利用しないことで、無駄なリスクを防げます。

AWS Key Management Service (KMS)

AWS KMSは、暗号化キーの作成と管理をサポートするサービスで、データの暗号化を容易に実現します。これにより、AWS上のストレージサービスに保存中のデータやバックアップデータを保護し、AWSサービス内外で暗号化を適用することが可能です。
KMSではエンベロープ暗号化という暗号化の方式を採用しています。これは、データ暗号化のキーと、データ暗号化キーを暗号化するキー(マスターキー)を用意し、2重に暗号化を行う方式です。マスターキーはAWSの責任で十分に管理されるため、安全な鍵管理を実現します。
KMSではCMK(カスタマーマネージドキー)も管理可能ですが、CMKのライフサイクルとキーポリシーはユーザーの責任で適切に設定・管理する必要があります。

Amazon CloudWatchとAWS CloudTrail

Amazon CloudWatchは、AWSリソースのリアルタイム監視を行い、CPUやログなどのシステム稼働状況の統計データを可視化・管理するサービスです。

AWS CloudTrailは、AWSアカウントの操作ログを収集し、記録するサービスで、アクセスログを通じて不正な操作の検出をサポートします。

これらのサービスを組み合わせることにより、異常な挙動の早期発見を行うことができます。
また、万が一不正なアクセスやマルウェア感染が発生しても、ログを十全に保存しておくことにより、フォレンジックや監査にも役立ちます。

Amazon Inspector

Amazon Inspectorは、AWS環境にあるサーバーの脆弱性を自動でスキャンし、レポートを提供するサービスです。Inspectorのレポートに基づき、脆弱性のある箇所を確認し、迅速に対策を講じることが可能です。これにより、常に最新のセキュリティ状態を維持できます。

AWS WAF と AWS Shield

AWS WAFは、Webアプリケーションを不正なリクエストや攻撃から保護するためのサービスです。
WAFを使用することで、SQLインジェクションやクロスサイトスクリプティング(XSS)など、一般的な攻撃手法からの防御が可能になります。カスタマイズも可能で、特定のルールを追加して柔軟にセキュリティを強化できます。

AWS Shieldは外部からのDDoS攻撃を緩和する機能を持っています。
AWS WAFとAWS Shieldを組み合わせることで、AWSに構築したWebアプリケーションのセキュリティ保護を十分に行うことができます。

AWS Security Hub

AWS Security Hubは、複数のAWSセキュリティサービスからのデータを統合し、ダッシュボードで一元管理できるサービスです。これにより、AWS全体のセキュリティ状況を把握し、潜在的な脅威を一目で確認できます。
また、Security Hubのインサイト機能もあります。インシデント対策の重大度を優先順位付けし、セキュリティ対策のリスク管理(リスクの受容、軽減、移転など)を行うために必要な情報を得ることができます。

セキュリティベンダーによる診断

AWS環境のセキュリティを強化するには、セキュリティベンダーによるクラウド環境の手動診断も有効です。手動診断では、アクセス権限の設定やネットワーク構成、データ暗号化の適用状況などを専門家が詳細にチェックし、AWSのサービス利用状況が最適化されているかどうかを確認します。

例えば、AWS上で不要なポートが開放されている場合や、過剰な権限が付与されているアカウントが存在する場合、手動診断でこうした設定ミスが発見され、対策が可能です。
セキュリティベンダーの診断を定期的に利用することで、AWSの設定の見落としを防ぎ、最新のセキュリティ基準に沿った対策が施されているかを確認でき、クラウド環境の安全性を一層向上させられます。

Amazon InspectorやAWS Security Hubでの定期的な診断に加え、こうした手動診断も行うことでより強固なセキュリティ対策が実現されます。

世界トップレベルの技術でクラウドの診断を行います

クラウド診断資料
  • クラウド診断の概要
  • クラウド診断実施の事例
  • 診断観点と診断項目例
  • 診断観点と対応コンポーネントの例
資料ダウンロード

監修:GMOサイバーセキュリティ byイエラエ 編集部

企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。

シェア このエントリーをはてなブックマークに追加

関連記事

サイバー攻撃とは?目的や手口、対策を解説
EASM(External Attack Surface Management)とは?外部公開資産のセキュリティリスク管理を解説
アタックサーフェス(Attack Surface)とは?サイバー攻撃経路となり得るIT資産管理について解説
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説