ITセキュリティ女子のブログ

ITセキュリティ女子のブログ>図説!AWSの安心運用に「特権ID管理」が効く理由

  • エンドポイントセキュリティ
2019.02.11

図説!AWSの安心運用に「特権ID管理」が効く理由

図説!AWSの安心運用に「特権ID管理」が効く理由

みなさんこんにちは。長谷川まりです。

AWS、Azure、Googleなど、クラウドインフラを利用する企業が増えています。そこで今回はクラウドサービスの中でも34%ものシェアを占める(※)AWSに注目し、安心してAWSを運用する秘策「特権ID管理」を、わかりやすく図を使って解説します!

AWSを安心して運用するためには

IAMユーザーID管理が重要課題に

皆様ご存知のとおり、IAMユーザーはAWSの管理コンソールを利用して日々の運用を担うユーザーです。ではIAMユーザーが複数いるとしたら、ログインIDはどんな単位で作るべきでしょう?個人毎?それとも組織や役割単位でグループ毎に共有IDを作る?IAMユーザーIDの管理は、AWSのセキュアな運用にあたり、とても重要な課題の1つになります。まずは、それぞれのリスクを整理してみましょう。

1.個人毎にIDを作る場合

1.個人毎にIDを作る場合

この場合はログインする個人がIDで特定できるので、何かあった場合に証跡が残りますが、利用ユーザ数分のIDの作成も管理も煩雑に。アクセス権限の細かな設定がしきれなかったり、退職者のID情報が残ったままになることで、不正アクセスの恐れがあります。


2.組織や役割単位でグループ毎に共有IDを作る場合

2.組織や役割単位でグループ毎に共有IDを作る場合

ではこちらはどうでしょう?IDの管理負荷は減りますね。ただ共有IDなので、EC2サイトなどが勝手に作られても、「誰」が「何」をしたのかをログからでは確認できなくなり、統制が効かなくなってしまいます。さらに、定期的なパスワード変更をしていないと、やはり外部からの不正アクセスの恐れも。クラウドの怖いところですね。


管理負荷を減らしながらリスク対策もできてしまう方法

このように、IAMユーザーのID管理は、リスクヘッジとのバランスが難しいところですよね。「あっちを立てればこっちが立たず」ですし、クラウドという特性上、常に外部ネットワークからの不正アクセスのリスクもつきまといます。

そこで、管理負荷を減らしながらリスク対策もできてしまう方法として、特権ID管理製品を導入する、という選択肢があります。AWSの運用管理を担うIAMユーザーも、オンプレと同じように、特権ID管理製品で管理ができるというわけなのです。世の中には特権ID管理製品と呼ばれるものはたくさんありますが、その効果をクラウド環境にも広げて適用できてしまうものは、まだ、多くはありません。

特権ID管理製品の利用イメージ

さて今、アシストでご紹介している最新の特権ID管理製品が、「CA Privileged Access Manager(PAM)」です。OSやDBの特権ID管理に実績のある製品ですが、5つの機能でこれを効率的に実現します。

5つの機能

これを1枚の図で表すと、このようなイメージになります。


5つの機能


PAMを使うと、ユーザーはまずPAMにログインすることになります。自分に利用が許可されたサーバに対してパスワード入力不要で対象のリソースを利用できるので、そもそもパスワードを覚える必要がなくなります。また管理者の立場からも、PAMにログインしたIDではなくユーザー単位でどんな作業を実施したかを見やすい動画ログで参照でき、仮に特権IDのような共有IDを利用していても、「誰」が「何」をしたかを正確に把握できてしまう、すごい製品です。

そしてPAMはAWS連携機能を持っているので、IAMユーザーもオンプレと同じように管理できます。

1.AWSのIAMユーザーは1つ準備すればOK

1.AWSのIAMユーザーは1つ準備すればOK

  • PAMにログインしたユーザー情報をAWS側に引き渡します
  • PAMのログを参照すれば、「誰が」AWSにログインし、「何を」したかを確認できます

図5

  • PAM側のユーザ設定でAWSの権限の割り振りができます

2.外部ネットワークからのアクセスもしっかり制限

図6

  • パスワードを開示しないため、退職者はログインができなくなります
  • AWSの機能でPAM経由以外のログインを制御できます

何といっても嬉しいのは、PAM自身がAWS上のAMIとして提供できるので、インストール作業や事前準備なしですぐに利用できちゃう、というのがポイントです。

まとめ

以上のように、AWSのセキュアな運用には、IAMユーザーのIDをしっかりと管理できることがポイントです。特権ID管理製品のPAMを利用すれば、管理の効率化とセキュリティの向上が同時に見込めます。

現在、AWS管理で同様の課題を持っている方、今後AWS移管を検討されている方は是非PAMを検討してみてはいかがでしょうか?


  • 上記でご紹介したCA Privileged Access Managerの製品概要は、下記よりご覧ください!

長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
2019.01.17

お手軽データ交換機能に要注意!Windows 10の「近距離共有」に潜むリスク

今、多くの企業で展開中のWindows10。近くにいるユーザー同士で気軽にデータ交換ができてしまう「近距離共有」の使い方と、そこに潜むセキュリティリスクについてご紹介します。

  • サイバー攻撃
  • エンドポイントセキュリティ
2019.01.16

VDI方式のテレワークなら安全?4つのセキュリティリスクとは

VDI(仮想デスクトップ)方式のテレワークは、セキュリティが高いといわれていますが、実は注意するべきセキュリティリスクがあります。しっかりとチェックをして対策しましょう。

  • サイバー攻撃
  • エンドポイントセキュリティ
2018.12.03

長谷川、病院の情報セキュリティ対策を学ぶってよ。

多くの病院が情報漏えい対策などセキュリティ対策に実施しているネットワーク分離。その欠点である「利便性の低下」を解消する方法について、先輩に詳しく教えてもらいました!

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。


長谷川ひとは
クライアント仮想化製品を担当。勉強熱心で、分からないことはすぐ聞いてしまう。

ページの先頭へ戻る