
- AWS
AWS環境のセキュリティ対策を見直そう(ログ/サイバー攻撃編)
前回の記事では、AWSにおけるセキュリティ対策として、クラウド特有の考え方が重要であること、中でも「予防的統制」に関する対応策をご紹介しました。今回は「発見的統制」に焦点を当て、ログ管理とサイバー攻撃対策にどのように対応すべきかを解説します。
|
皆さん、アマゾン ウェブ サービス(以降、AWS)環境のセキュリティ対策は万全ですか?
近年、クラウド環境をはじめとしたセキュリティ事故のニュースも増えており、ITインフラにおけるセキュリティ対策の注目度が非常に高まっています。
例えば、自社内でアクセス権限の適切な設定管理ができていますか?慣習的な手作業の運用は、重大なセキュリティインシデントになりかねません。
そこで本記事では、AWS環境におけるセキュリティの基本と、その考え方に即したセキュリティ対策について、全2回にわたり解説します。ぜひ自社環境を改めて見直すきっかけにしてみてください。
Index
まずは、AWSのセキュリティを知るうえで重要となる『責任共有モデル』『予防的統制』『発見的統制』について紹介します。
責任共有モデルとはセキュリティにおける「クラウドサービスプロバイダー(CSP)と利用者の責任分界点」を示したモデルです。
オンプレミス環境の場合、インフラレイヤーからアプリケーションレイヤーまでの全てのレイヤーのセキュリティ対策を自分たちで実施する必要がありました。
一方、クラウドではインフラレイヤーの責任はAWSやAzureなどのCSPが担当し、インフラレイヤーより上位のレイヤーはユーザーで担当します。この考え方を『責任共有モデル』と呼びます。
「クラウドではセキュリティは全部CSPが考えてくれる」と思われている方もたまにいらっしゃいますが、この様にユーザーで検討が必要な領域があることをまずは抑える必要があります。
【責任共有モデル 図】
続いて、セキュリティ対策の考え方です。これには『予防的統制』と『発見的統制』の2つの考え方があります。
『予防的統制』は問題やリスクが発生する前に、未然に防ぐための対策です。アクセス権限の制限やデータの暗号化など、リスク発生自体を抑えられます。これにより、問題発生後に対応する場合に生じる想定外のコストや手間を削減できます。
『発見的統制』は問題やリスクが発生した後に、早期に発見して対応するための対策です。例えば、異常なアクセスや不正操作が検知された際に、即時対応できる仕組みを整えておきます。これにより、重大な損害や業務への影響を未然に防止できます。
観点 | 概要 | 対策例 |
予防的統制 | リスクの発生をあらかじめ防ぎ、システムへの影響を発生させない | ユーザーの操作権限を正しく設定し、不正操作を防ぐ |
発見的統制 | リスクが発生してしまった場合に正しく検知し、影響を防ぐ(最小限の影響にとどめる) | リソースの操作に関する監視やアラートを設定し、不正操作が行われたことを早期に検知する |
前章では、セキュリティを考えるうえで、問題が起きないようにする(予防的統制)ことと、問題が起こった後に素早く対応する(発見的統制)こと、すなわち「被害の前後対応」が重要だとお伝えしました。
では、具体的にどんな対策を取っていけばよいのでしょうか。まずはアイデンティティ管理から見ていきましょう。
アイデンティティ管理とは、「誰がどのリソースにアクセスし、どんな操作ができるのか」を適切にコントロールする仕組みです。これにより、不正アクセスや誤操作などのリスクを軽減し、システム全体の安全性を確保できます。
ここからは具体的な対応策をご紹介します。
システムやクラウド環境におけるリソースへのアクセスや操作を適切に管理・制限します。オンプレミス環境でも実施されているかと思いますが、クラウド環境ではそれに加えて、クラウド特有の仕組みを活用した権限管理が求められます。
特にクラウド環境は複数ユーザーやアプリケーションがリソースを共有するため、アクセスできる人や操作できる内容を厳密に管理する必要があります。
こうした権限管理を担う仕組みがAWS Identity and Access Management(以降、IAM)です。
まずは、IAMを適切に設定・管理するための基本事項をまとめます。
機能 | 概要 | 使用例 |
IAMユーザー | AWSにログインし、操作を行う個別のユーザー | 開発者や管理者がAWSにログインして操作 |
IAMグループ | 複数のIAMユーザーをまとめて、共通のアクセス権限を付与 | 部署やチーム単位で権限を管理し、運用を効率化 |
IAMポリシー | ユーザーやロールに付与するアクセス制御ルール | 「S3の読み取りのみ許可」など細かい権限管理を実施 |
IAMロール | 一時的な権限を付与し、サービス間でのアクセスを制御 | EC2がS3にアクセスする際の権限設定 |
IAMを利用する上で重要となるのが、『IAMの設計を正しく行う』です。言葉で言うのは簡単なものの、この点が非常に難しく多くのお客様からご相談を頂くポイントでもあります。
検討の進め方のベストプラクティスを以下に記載します。もし、具体的にお困りの方がいらっしゃいましたら、是非アシストにご相談頂ければと思います。
◆ベストプラクティス
概要 | 詳細 |
メンバーのグルーピングを実施 | ユーザごと個別で権限を考えるのではなく、ユーザのグルーピングを行い、『該当のグループにどのような権限を与えたいのか? = 該当のグループはどういった操作を実施するのか?』を考える |
AWS管理ポリシーを活用する | 細かく権限を付与することができる『カスタマー管理ポリシー』というIAMポリシーの仕組みも存在するが、まずはAWSが用意している『AWS管理ポリシー』の利用を優先。更に細かい制御が必要となった際にカスタマー管理ポリシーを利用する |
アプリからAWSリソースを操作する際にはIAMロールを利用 | アプリケーションからAWSリソースを操作する際に、IAMユーザーの権限を利用する(アクセスキーを利用する)事も可能。 |
続いては『特権ID』と呼ばれる、AWSアカウントのルートユーザーや、Administrator系の権限ポリシーを持つIDに関する運用・管理です。
特権IDは重要な操作を行えるため、悪用されると組織全体のシステムに重大な影響を及ぼします。そのため、適切に管理を行いシステムの安全性を確保することが重要です。
特権IDを適切に管理するためのベストプラクティスについて説明します。
◆ベストプラクティス
概要 | 詳細 |
ルートユーザーの使用制限 | ルートユーザーは全ての権限を有する強力な特権IDのため、普段の業務では利用しないようIAMユーザーでAWSリソースを操作することが一般的です。 |
アクセスログの管理 | 特権IDの使用状況を監視し、異常な操作が検出された場合に即時対応できるよう、アラートを設定します。
AWS CloudTrailやAWS Configといった監査サービスを利用して監視し、アカウント全体の操作を記録します。また、異常を検知した際の通知についてもメールやSlack等で受け取れるように設定します。 |
AWS環境だけではなく、オンプレミス環境等の複数環境における特権ID管理を実施する場合、サードパーティ製品の利用もご検討ください。
サードパーティ製品を利用することで、承認フローの確立や操作内容のログ管理/動画管理、レポート活用なども含めての特権IDの管理が可能となります。
【サードパーティツール(iDoperation)を利用した特権IDの払い出し イメージ】
アクセス制御を適切に行うためには、最小権限の原則に基づいて設計することが重要とお伝えしましたが、業務の中で適切な付与がされているかのチェックを行うことも合わせて重要です。
◆利用機能
概要 | 詳細 |
外部アクセスに関する検出 | 設定されたポリシーやアクセス許可を基に、外部からの不適切または不要なアクセスを検出します。 |
未使用のアクセスに関する検出 | 「未使用のアクセス」機能を使うと、設定した期間を超えて利用されていないIAMリソースを簡単に特定できます。 |
【IAM Access Analyzer 外部アクセスに関する検出結果 イメージ】
IAM権限は「設計及び設定」だけではなく、「付与状況を定期的にチェックする」ことも非常に重要です。
そのため、こういった便利なAWSサービスも活用しながら、適切なIAM権限の付与を進めてみてください。
いかがでしたか?
本コラムでは、AWSセキュリティの考え方と、予防的統制の観点から具体的な対策の一部をご紹介しました。これを機に、自社のIAM設計・特権ID管理の見直しと強化を進めてみてはいかがでしょうか。
次回はログ管理及びサイバー攻撃編として、AWS環境で取り得る対策をご紹介します。
![]() |
---|
2022年中途入社。前職はストレージエンジニアとして業務を経験し、現在はAWSのフィールド業務を担当している。好きなAWSサービスは Amazon FSx
。
趣味はポタリングで、定期的にナイトライドを楽しんでいる。運動不足解消も兼ねているが、出先でよく外食してしまう。...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
前回の記事では、AWSにおけるセキュリティ対策として、クラウド特有の考え方が重要であること、中でも「予防的統制」に関する対応策をご紹介しました。今回は「発見的統制」に焦点を当て、ログ管理とサイバー攻撃対策にどのように対応すべきかを解説します。
この記事では「Amazon Q Business」の「Amazon Q Apps」で社内FAQアプリを作成する方法をご紹介します