ITセキュリティ女子のブログ

仕事の合間にさっと読めるITセキュリティの話

ID・アクセス管理

図説!AWSの安心運用に「特権ID管理」が効く理由

公開日:
更新日:
ID・アクセス管理
#ID管理
図説!AWSの安心運用に「特権ID管理」が効く理由

みなさんこんにちは。長谷川まりです。

AWS、Azure、Googleなど、クラウドインフラを利用する企業が増えています。そこで今回はクラウドサービスの中でも34%ものシェアを占める(※)AWSに注目し、安心してAWSを運用する秘策「特権ID管理」を、わかりやすく図を使って解説します!

※出典:Synergy Research Group

AWSを安心して運用するためには

IAMユーザーID管理が重要課題に

皆様ご存知のとおり、IAMユーザーはAWSの管理コンソールを利用して日々の運用を担うユーザーです。ではIAMユーザーが複数いるとしたら、ログインIDはどんな単位で作るべきでしょう?個人毎?それとも組織や役割単位でグループ毎に共有IDを作る?IAMユーザーIDの管理は、AWSのセキュアな運用にあたり、とても重要な課題の1つになります。まずは、それぞれのリスクを整理してみましょう。

1.個人毎にIDを作る場合

1.個人毎にIDを作る場合

この場合はログインする個人がIDで特定できるので、何かあった場合に証跡が残りますが、利用ユーザー数分のIDの作成も管理も煩雑に。アクセス権限の細かな設定がしきれなかったり、退職者のID情報が残ったままになることで、不正アクセスの恐れがあります。

2.組織や役割単位でグループ毎に共有IDを作る場合

2.組織や役割単位でグループ毎に共有IDを作る場合

ではこちらはどうでしょう?IDの管理負荷は減りますね。ただ共有IDなので、EC2サイトなどが勝手に作られても、「誰」が「何」をしたのかをログからでは確認できなくなり、統制が効かなくなってしまいます。さらに、定期的なパスワード変更をしていないと、やはり外部からの不正アクセスの恐れも。クラウドの怖いところですね。

管理負荷を減らしながらリスク対策もできてしまう方法

このように、IAMユーザーのID管理は、リスクヘッジとのバランスが難しいところですよね。「あっちを立てればこっちが立たず」ですし、クラウドという特性上、常に外部ネットワークからの不正アクセスのリスクもつきまといます。

そこで、管理負荷を減らしながらリスク対策もできてしまう方法として、特権ID管理製品を導入する、という選択肢があります。AWSの運用管理を担うIAMユーザーも、オンプレと同じように、特権ID管理製品で管理ができるというわけなのです。世の中には特権ID管理製品と呼ばれるものはたくさんありますが、その効果をクラウド環境にも広げて適用できてしまうものは、まだ、多くはありません。

特権ID管理製品の利用イメージ

特権ID管理製品「iDoperation(IDO)」での例を挙げてみましょう。OSやDBの特権ID管理に実績のある製品ですが、5つの機能でこれを実現します。

5つの機能

  1. (ID管理)各OSやDB等の特権IDを管理し、パスワードを定期的もしくはイベントごとに変更

  2. (ワークフロー)各OSやDB等を利用する場合に申請承認などのワークフローを利用することが可能

  3. (アクセス制御) パスワードを隠蔽したままオートログイン(SSO)することが可能

  4. (アクセスログ管理)各システムからアクセスログを収集し、申請情報と自動で突合することが可能

  5. (動画ログ管理)ログイン後の作業内容を動画で取得

これを1枚の図で表すと、このようなイメージになります。

変更後_画像

IDOを使うと、ユーザーはまずIDOにログインすることになります。自分に利用が許可されたサーバに対してパスワード入力不要で対象のリソースを利用できるので、そもそもパスワードを覚える必要がなくなります。また管理者の立場からも、にログインしたIDではなくユーザー単位でどんな作業を実施したかを見やすい動画ログで参照でき、仮に特権IDのような共有IDを利用していても、「誰」が「何」をしたかを把握できます。

そしてIDOはAWS連携機能を持っているので、IAMユーザーもオンプレと同じように管理できます。

1.AWSのIAMユーザーは共有IDでも誰が利用したか把握することが可能

以下のように、IDOではレポートから、同じ申請時間内、同じ共有IDでも誰が利用したかをきちんと識別できていることがわかります。

1.AWSのIAMユーザーは共有IDでも誰が利用したか把握することが可能

  • IDOにログインしたユーザー情報をAWS側に引き渡します

  • IDOのログを参照すれば、「誰が」AWSにログインし、「何を」したかを確認できます

2.SwitchRoleの利用もチェック

  • SwitchRoleの申請を行い、承認者に許可されないと、スイッチできません

レポート

  • レポート上でも正しく利用されていることをチェックできます

何といっても嬉しいのは、IDO自身がAWS上のAMIとして提供でき、DBもRDSと連携してすぐに利用できちゃう、というのがポイントです。

まとめ

以上のように、AWSのセキュアな運用には、IAMユーザーのIDをしっかりと管理できることがポイントです。特権ID管理製品を利用すれば、管理の効率化とセキュリティの向上が同時に見込めます。

現在、AWS管理で同様の課題を持っている方、今後AWS移管を検討されている方は特権ID管理製品のIDOを検討してみてはいかがでしょうか?

iDoperationの導入事例を見にいく

クラウドサービスの特権ID管理に「iDoperation」を使うメリットを知りたい方へ

ダウンロードはこちらから

クラウドサービスの特権IDをしっかり管理したい方に、IDOの利用メリットを2ページで簡単にサマリした資料です。
対応している管理対象プラットフォームもわかります。
お気軽にダウンロードしてご利用ください。

この記事をシェアする

この記事を書いたスタッフ

著者の顔写真

長谷川 まり

長谷川 まり

株式会社アシストに入社以来、セキュリティ対策製品を担当。

技術者として現場で培った知見を活かし、日々プロモーション活動に奮闘中。
自身が「IT初心者」だった経験から、専門用語や技術についてわかりやすく
説明することを心がけている。