潜んでいたリスクを可視化する
クラウド診断サービスで
安全かつ最適なクラウド運用が実現
AWSセキュリティを強化するための
6つのベストプラクティスとは?(AWS責任共有モデルとは?)
6つのベストプラクティスとは?(AWS責任共有モデルとは?)
「AWSセキュリティに技術的知見がなく、AWSセキュリティ対策の導入が進まない…」「AWSセキュリティ対策をどこまでやるべきかわからない…」といったお悩みはありませんか。クラウドセキュリティ対策としては、AWS環境におけるセキュリティの責任範囲を理解し、ベストプラクティスに沿った設計をする必要があります。
そこで本記事ではAWS責任共有モデルと、AWSセキュリティを強化するための6つの分野のベストプラクティスについてご紹介します。
クラウドセキュリティのリスクとは?
従来のようにオンプレミスでシステムを構築すると、ハードウェアの設置やネットワークの構築から自社で行います。しかし、AWSのようなクラウドサービスでは、ハードウェアやネットワークの物理的な部分はクラウドサービス事業者が運用しています。利用者は、管理画面から必要なリソースを選択して構成し利用するという形がオンプレミスと大きく異なる点です。
そのためクラウドサービスはユーザーが運用する部分がオンプレミスと異なります。これをAWS責任共有モデルと呼んでおり、クラウドサービスの標準的な指針になっています。
AWS責任共有モデルは、セキュリティとコンプライアンスをAWSと利用者でそれぞれ分担します。AWSはリージョンやアベイラビリティゾーンといったデータセンターに関連する部分や、コンピュート、ストレージ、データベース、ネットワーキングといったインフラの部分についてセキュリティに責任を持ちます。一方で利用者はインフラの構成、アプリケーション、ID・アクセス管理、データといった特定のワークロード(システム・アプリケーション)に依存する領域について責任を持ちます。
例えば脆弱性対策に欠かせないパッチ管理については、AWSがインフラ部分を担うのに対して、ゲストOSやアプリケーションは利用者がパッチ適用を行います。またAWSはインフラのデバイスを運用しますが、ゲストOS、データベース、アプリケーションの構成については利用者に運用責任があります。
このように利用者が統制しなければならない領域は細かく分かれており、もれなく統制できているかを判断するのが難しいケースもあります。そのためAWSでは次のような対策が必要としています。
●NIST Cybersecurity Framework (CSF)やISOなどの業界フレームワークを検討する
●AWS クラウド導入フレームワーク(CAF)とWell-Architectedのベストプラクティスを採用する
●AWSのサービスのドキュメントで個々のAWSのサービスにおけるセキュリティ機能と設定オプションを確認する
●AWSセキュリティ、アイデンティティ、コンプライアンスサービスを評価する
●第三者機関の監査証明文書を確認し、自社で実施できていない統制がないか判断する
●Cloud Audit Academyのトレーニングプログラムを活用する
●Well-Architected Reviewを実施する
●AWS Marketplaceで取り扱われているセキュリティソリューションを活用する
●AWSセキュリティコンピテンシーパートナーに支援を依頼する
中でもWell-Architectedは、セキュリティ対策をチェックするにあたり、まず確認したいドキュメントです。システム構築の際に設計の指針を学ぶことができ、ベストプラクティスによって既存の環境に不足している項目を洗い出すことができます。
Well-Architectedには「オペレーショナルエクセレンス(運用の優秀性)」「セキュリティ」「信頼性」「パフォーマンス効率」「コスト最適化」「持続可能性(サステナビリティ)」の6つの柱があります。6つの柱にはそれぞれ設計原則とベストプラクティスが定義されています。セキュリティ対策を考えるのであれば、セキュリティの柱を中心として設計原則とベストプラクティスを確認していくことになるでしょう。
そこで次章からはWell-Architectedのセキュリティの柱で定義されている7つの設計原則、6つのベストプラクティスを簡単にご紹介します。
AWS Well-Architected セキュリティ 7つの設計原則
全てのワークロードを安全に運用するには、データ、システム、資産を保護するようシステムを設計しなければなりません。Well-Architectedのセキュリティの柱では、次の7つの設計原則があります。
●強力なアイデンティティ基盤の実装
各IDに紐づくロールの権限を最小権限の原則に則って適切に付与することが大切です。IDの一元管理を行うことで、各AWSリソースとの通信で適切な認証を実行します。
●トレーサビリティの実現
ログとメトリクスの収集機能をシステムに組み込み、必要に応じて追跡できる仕組みを作ります。
●全レイヤーでセキュリティを適用する
複数のセキュリティコントロールを実装し、インフラ、インスタンス、OS、アプリケーション、といった全ての層に適用します。
●セキュリティのベストプラクティスを自動化する
セキュリティコントロールをソフトウェアベースで自動化させることで、より安全に、速く拡張が可能になります。
●伝送中および保管中のデータの保護
データを機密性レベルで分類し、レベルに応じて暗号化・トークン分割、アクセスコントロール等の対策を実装します。
●データに人の手を入れない
データに直接アクセスしたり手動で処理したりといったケースを減らす、または回避する仕組みを設計します。
●セキュリティイベントに備える
組織の要件に合わせてインシデント管理、調査ポリシー・プロセスを導入し、シミュレーションを実施します。
●強力なアイデンティティ基盤の実装
各IDに紐づくロールの権限を最小権限の原則に則って適切に付与することが大切です。IDの一元管理を行うことで、各AWSリソースとの通信で適切な認証を実行します。
●トレーサビリティの実現
ログとメトリクスの収集機能をシステムに組み込み、必要に応じて追跡できる仕組みを作ります。
●全レイヤーでセキュリティを適用する
複数のセキュリティコントロールを実装し、インフラ、インスタンス、OS、アプリケーション、といった全ての層に適用します。
●セキュリティのベストプラクティスを自動化する
セキュリティコントロールをソフトウェアベースで自動化させることで、より安全に、速く拡張が可能になります。
●伝送中および保管中のデータの保護
データを機密性レベルで分類し、レベルに応じて暗号化・トークン分割、アクセスコントロール等の対策を実装します。
●データに人の手を入れない
データに直接アクセスしたり手動で処理したりといったケースを減らす、または回避する仕組みを設計します。
●セキュリティイベントに備える
組織の要件に合わせてインシデント管理、調査ポリシー・プロセスを導入し、シミュレーションを実施します。
AWS Well-Architected セキュリティ 6つのベストプラクティス
ベストプラクティスは、Q&A形式になっています。質問に回答していくと「設計が最適化されているか」「運用中のシステムの問題点がどこにあるのか」といったことを確認することができます。
セキュリティでは次の6つの分野にベストプラクティスが定義されています。
●セキュリティ
ワークロードを安全に運用するために、既存の役職による権限をそのまま継承するのではなく、個別アカウントごとにワークロードを整理してアカウントをグループ化する、AWSユーザー(ルートユーザー)の使用を制限する、管理目標を設定する、といったベストプラクティスが定義されています。
●Identity and Access Management
IDとアクセスの管理は情報システムの大切な要素です。AWSでは権限管理をAWS Identity and Access Management(IAM)によってサポートしています。IAMによってパスワードの複雑性を確保し、IDの他にデバイス等で認証を行う多要素認証(MFA)を行い、最小権限で付与する、といった対策が必要です。
●検出
セキュリティの潜在的な脅威やインシデントを特定するための「発見的統制」に焦点が当てられています。各種ログのモニタリングとアラーム設定、設定履歴の確認によって、悪意ある動作や不正な動作を継続的にモニタリングします。インシデントが発生した場合に調査と修正を自動化することで、人手作業を軽減し作業で発生するミスを防ぐ対策も必要です。
●インフラストラクチャー保護
ネットワークリソースとコンピューターリソースの全ての層に対し、多層防御する必要があります。境界保護や包括的なログ記録と監視といったセキュリティ対策の考え方や方法はオンプレミスと共通するものです。
●データ保護
組織のデータを機密性レベルに基づいてカテゴリーに分類し、各カテゴリーに適した保護を行います。また認証されていないアクセスにデータが開示されないように暗号化を行います。
●インシデント対応
インシデントが発生した際は、タイムリーな調査と復旧が要求されます。潜在的なインシデントの検知と対策を実施すると同時に、本番を想定したインシデント対応の検証を定期的に実施することが求められます。
セキュリティでは6つの分野にベストプラクティスが設定されています。6つの分野には質問が設けられており、一つの質問に対して複数のベストプラクティスが掲載されています。例えばセキュリティの分野では、「ワークロードを安全に運用するには、どうすればよいですか?」という質問があります。その答えとして、「アカウントを使用してワークロードを分ける」「AWS アカウントのセキュリティを確保する」といったベストプラクティスが設定されています。
また改善計画として、それぞれのベストプラクティスに対してドキュメントやツールが紹介されています。
セキュリティでは次の6つの分野にベストプラクティスが定義されています。
●セキュリティ
ワークロードを安全に運用するために、既存の役職による権限をそのまま継承するのではなく、個別アカウントごとにワークロードを整理してアカウントをグループ化する、AWSユーザー(ルートユーザー)の使用を制限する、管理目標を設定する、といったベストプラクティスが定義されています。
●Identity and Access Management
IDとアクセスの管理は情報システムの大切な要素です。AWSでは権限管理をAWS Identity and Access Management(IAM)によってサポートしています。IAMによってパスワードの複雑性を確保し、IDの他にデバイス等で認証を行う多要素認証(MFA)を行い、最小権限で付与する、といった対策が必要です。
●検出
セキュリティの潜在的な脅威やインシデントを特定するための「発見的統制」に焦点が当てられています。各種ログのモニタリングとアラーム設定、設定履歴の確認によって、悪意ある動作や不正な動作を継続的にモニタリングします。インシデントが発生した場合に調査と修正を自動化することで、人手作業を軽減し作業で発生するミスを防ぐ対策も必要です。
●インフラストラクチャー保護
ネットワークリソースとコンピューターリソースの全ての層に対し、多層防御する必要があります。境界保護や包括的なログ記録と監視といったセキュリティ対策の考え方や方法はオンプレミスと共通するものです。
●データ保護
組織のデータを機密性レベルに基づいてカテゴリーに分類し、各カテゴリーに適した保護を行います。また認証されていないアクセスにデータが開示されないように暗号化を行います。
●インシデント対応
インシデントが発生した際は、タイムリーな調査と復旧が要求されます。潜在的なインシデントの検知と対策を実施すると同時に、本番を想定したインシデント対応の検証を定期的に実施することが求められます。
セキュリティでは6つの分野にベストプラクティスが設定されています。6つの分野には質問が設けられており、一つの質問に対して複数のベストプラクティスが掲載されています。例えばセキュリティの分野では、「ワークロードを安全に運用するには、どうすればよいですか?」という質問があります。その答えとして、「アカウントを使用してワークロードを分ける」「AWS アカウントのセキュリティを確保する」といったベストプラクティスが設定されています。
また改善計画として、それぞれのベストプラクティスに対してドキュメントやツールが紹介されています。
AWSの具体的なセキュリティ対策とは
設計原則とベストプラクティスをもとに、具体的なセキュリティ対策を実行していきましょう。ここでは代表的な対策をご紹介します。
●ユーザーアクセス管理
ユーザーアカウントの乗っ取りや誤操作による情報資産の喪失・流出を防止できるよう、利用するアカウントを保護します。ユーザーアクセス権は「Identity and Access Management」のベストプラクティスに基づき、パスワード要件やMFA(多要素認証)の強制等を実施した上で、最小権限で付与することが求められます。
●脆弱性対策
EC2インスタンスやコンテナ等のAWSワークロードに対して、ソフトウェアの脆弱性や設定の不備がないか継続的にスキャンしパッチ適用を実施します。「SEC6:コンピューティングリソースをどのように保護していますか?」のベストプラクティスに設定されている「脆弱性管理を実行する」に基づき対策を実行します。
●多層防御対策
ウイルス対策、侵入検知/防御、改ざん検知等でサーバ環境を保護し、情報資産の漏えいや改ざんを防御します。「SEC5:ネットワークリソースをどのように保護しますか?」「SEC6:コンピューティングリソースをどのように保護していますか?」のベストプラクティスに基づき対策を実行します。
●不正アクセス検出
潜在的なセキュリティイベントを検出するには、ログ管理が非常に重要です。そしてログから悪意のあるアクティビティを可視化する必要があります。「SEC 4: セキュリティイベントをどのように検出し、調査していますか?」のベストプラクティスに基づき対策を実行します。
●設定監査(CSPM:Cloud Security Posture Management)
AWSリソース設定変更について継続的にモニタリングする必要があります。「SEC 4: セキュリティイベントをどのように検出し、調査していますか?」のベストプラクティスに基づき対策を実行します。
●ユーザーアクセス管理
ユーザーアカウントの乗っ取りや誤操作による情報資産の喪失・流出を防止できるよう、利用するアカウントを保護します。ユーザーアクセス権は「Identity and Access Management」のベストプラクティスに基づき、パスワード要件やMFA(多要素認証)の強制等を実施した上で、最小権限で付与することが求められます。
●脆弱性対策
EC2インスタンスやコンテナ等のAWSワークロードに対して、ソフトウェアの脆弱性や設定の不備がないか継続的にスキャンしパッチ適用を実施します。「SEC6:コンピューティングリソースをどのように保護していますか?」のベストプラクティスに設定されている「脆弱性管理を実行する」に基づき対策を実行します。
●多層防御対策
ウイルス対策、侵入検知/防御、改ざん検知等でサーバ環境を保護し、情報資産の漏えいや改ざんを防御します。「SEC5:ネットワークリソースをどのように保護しますか?」「SEC6:コンピューティングリソースをどのように保護していますか?」のベストプラクティスに基づき対策を実行します。
●不正アクセス検出
潜在的なセキュリティイベントを検出するには、ログ管理が非常に重要です。そしてログから悪意のあるアクティビティを可視化する必要があります。「SEC 4: セキュリティイベントをどのように検出し、調査していますか?」のベストプラクティスに基づき対策を実行します。
●設定監査(CSPM:Cloud Security Posture Management)
AWSリソース設定変更について継続的にモニタリングする必要があります。「SEC 4: セキュリティイベントをどのように検出し、調査していますか?」のベストプラクティスに基づき対策を実行します。
AWSのセキュリティ対策を実装・運用していくには?
セキュリティを強化するのであれば、ベストプラクティスに沿って自社環境に必要な対策を選択する必要があります。ただベストプラクティスの情報量は膨大で、機械翻訳により理解が難しい部分もあるかもしれません。
DTSではこれまでの豊富な実績をもとに、AWSでニーズの高い対策を「AWSセキュリティマネージドサービス」として提供しています。「Well-Architected Framework」に準拠しており、メニューの中から必要なものを選択可能です。
AWSセキュリティに技術的知見がなくAWSの導入が進められていないお客様、AWSセキュリティで何をどこまで対応すればよいかわからないお客様でも、必要なAWSセキュリティ対策をもれなく導入できます。さらに個別カスタマイズも可能になっており、ご要望に柔軟に対応可能です。お気軽にご相談ください。
DTSではこれまでの豊富な実績をもとに、AWSでニーズの高い対策を「AWSセキュリティマネージドサービス」として提供しています。「Well-Architected Framework」に準拠しており、メニューの中から必要なものを選択可能です。
AWSセキュリティに技術的知見がなくAWSの導入が進められていないお客様、AWSセキュリティで何をどこまで対応すればよいかわからないお客様でも、必要なAWSセキュリティ対策をもれなく導入できます。さらに個別カスタマイズも可能になっており、ご要望に柔軟に対応可能です。お気軽にご相談ください。
関連してよく読まれているページ
DOWNLOAD
資料ダウンロード
関連サービス
-
AWS クラウド診断サービス
AWS Well-Architected フレームワークに基づき
お客さまシステムのクラウド最適化を強力にサポート -
AWS セキュリティマネージドサービス
AWSベストプラクティスをベースとしたAWSで必要となるセキュリティ対策を提供
カテゴリー
資料ダウンロードランキング
-
AWS導入・移行に関する実態調査レポート2023年版資料ダウンロード
-
AWSを検討している情シス担当者の方、必見!資料ダウンロード
-
クラウド移行に課題を感じているお客様に!資料ダウンロード
-
クラウドサービス(AWS)を安全・効果的に使えているか
診断したいというお客様へ!資料ダウンロード
-
コンテナ利用によるセキュリティリスクに
不安があるというお客様に!資料ダウンロード
-
クラウドサービスの利用拡大によるセキュリティリスクの増加に
不安があるというお客様に!資料ダウンロード
-
安心のテレワーク環境をすばやく整備!資料ダウンロード
-
AWSのクラウドサービスってどのようなサービスがあるの?という方へ資料ダウンロード
-
クラウドサービスにセキュアで接続したいお客様へ!資料ダウンロード