それだけで大丈夫?AWS上でのセキュリティ対策
更新:2020年08月21日(金)| 公開:2020年08月21日(金)| その他
昨今、企業によるAWS等のクラウドサービスの利用がますます拡大しています。一方で、企業や組織のシステムには機密情報や個人情報を含む多くの重要な情報が含まれており、また、企業が提供しているサービスが急に停止するようなことがあると社会に与える影響も甚大であることから、セキュリティ対策への意識も高まっています。
そこで本コラムでは、AWSでインフラ構築する際の「セキュリティ対策のポイント」について、ご紹介いたします。
目次
情報セキュリティ対策とは
情報セキュリティ対策とは、ひとことでいえば情報の安全を守ること。大切な情報が外へ漏れたり、壊れて読めなくなったり、改ざんされて意図せず内容が変わったり、突然アクセスできなくなったり、などといった事態に陥らないように必要な対策をとることです。
少し専門的な言い方をさせていただくと、情報セキュリティとは、機密性・完全性・可用性がすべて確保されること、とされています。
つまり、これら3つのうち1つでも確保できていないものがあれば、セキュリティ対策がきちんとできていることにはならないのです。
- 機密性
情報へのアクセスを認められた人だけが、その情報にアクセスできること。 - 完全性
情報が、破壊も、改ざんも、消去もされていないこと。 - 可用性
情報へのアクセスを認められた人が、必要なときに問題なく情報にアクセスできること。
情報セキュリティといえばファイアーウォール!?
情報セキュリティというと、有名な「ファイアーウォール」を思い浮かべる方がいらっしゃるかもしれません。もちろん、AWSはファイアーウォールに関する機能も充実しています。
AWSのようなクラウドサービスでは、サービス提供側のITリソースを、利用者がオンラインで利用します。
このリソースは世界中から利用されていますので、まず初めに利用する範囲を決めて囲いを作り、自分たちだけの仮想的な環境を作ります。AWSでは、このような仮想環境を作成すると、セキュリティグループという名のファイアーウォールが漏れなく付いてきます。
もちろん設定には知識が必要ですが、何はともあれ、このセキュリティグループや周辺の諸々の設定を適切に行なえば、認められた人(決められたIPアドレスを持っている人)だけが大切な情報のある場所へアクセスできるようになり、情報の「機密性」を確保することができます。
さて、これでセキュリティ対策は万全でしょうか?
いいえ、まだ情報セキュリティに必要な3要素のうち、1つしか確保できていませんよね。
守りは固めたけど、突破されたらどうするの?内部の不正やミスは絶対にないといえるの?リソースの物理的なパーツが何かの拍子で壊れてしまう可能性はないの?
…そこまで考える必要があります。
AWSのセキュリティ関連サービスは他にもたくさんあります
セキュリティグループだけでは不十分、ということは分かったけれど、それではどうすればよいのでしょうか。
AWSでは非常にたくさんのサービスが提供されています。その中にはファイアーウォールを更に強化するものや、その他の様々なセキュリティ機能もあり、2020年半ば現在、セキュリティ関連だけで20近くものサービスがあります。こんなにたくさんあると、どれを使えば良いか迷ってしまいますね。
全部使うことができれば一番安心ですが、サービスを多く使えば費用も手間もそれだけ多くかかりますので、予算の都合上それはちょっと無理…。
そこで、最低限これだけは導入しておくべき、というサービスはあるのか?それはいったいどれなのか?ということになります。
しかし、実は、それはある特定のサービスではありません。
20近くあるAWSのセキュリティサービスはどれも強力ですが、単体で利用するよりも組み合わせて利用すると、より強力で効果的になります。
限られた予算で最大限の効果を出すためのキーワード、それは「組み合わせ」です!
すべてのお客様におすすめの組み合わせは・・・
そこでコニカミノルタでは、AWSを利用されるすべてのお客様に、どのようなタイプのシステムを構築される場合にも、セキュリティ対策のために必ず導入をおすすめしたい最低限の組み合わせで「AWSセキュリティ基本パック」を作りました!
| AWSサービス名 | 主な機能 |
|---|---|
| AWS CloudTrail | AWS上のAPI操作などの操作ログを取得する。セキュリティインシデントなどが発生したときに追跡・分析ができる |
| Amazon GuardDuty | 各種ログを自動的に取得して、機械学習分析し、異常を知らせてくれる |
| AWS Config | AWSリソースの構成変更(セキュリティグループ変更やIAMユーザー追加)を記録、可視化、通知する |
| Amazon CloudWatch Event |
イベントのトリガールールを定義し監視する |
| Amazon SNS | CloudWatch Eventが検知したトリガーを管理者へ通知する |
情報の「完全性」「可用性」を確保するためには、侵入されたかどうかにかかわらず、情報がある場所で何かおかしなことが起きたら察知して、すぐに対策を打つ必要があります。
この組み合わせを導入すれば、とにかく不審な動きがあればコンピュータが自動的に検知してお知らせしてくれますので、とりあえずその点はバッチリですね。
「AWSセキュリティ基本パック」で何が実現できるの?
「AWSセキュリティ基本パック」では各機能が連携することで、各種セキュリティログの記録・保管および機械学習による分析結果を一元化し、そして、問題を検知したら即アラートを通知します。
何を分析するか?
- ネットワークのIPトラフィックキャプチャ:不審なトラフィック
- AWS上でのAPI操作:不正な操作
- AWSリソースの構成変更:不審な設定変更
→ 外部アクセス/内部アクセス問わず不審なふるまいを迅速に検知できる。
構成図
お客様のシステムに合わせてカスタマイズいたします
AWSでのセキュリティ対策、いかがでしたでしょうか?しかし、説明にも書かせていただいた通り、上記の「AWSセキュリティ基本パック」は「最低限」の対策になります。
コニカミノルタにご相談いただければ、こちらをベースに、経験豊富なエンジニアがお客様のシステムに応じてカスタマイズした最適な組み合わせをご提案いたします。
セキュリティ対策に不安を感じたら、ぜひ一度、コニカミノルタにご相談ください。
関連ソリューション
Web&デジタルマーケティングの
お悩みを一緒に解決します!
今後のセミナー開催情報をメルマガにてお送りします