AWS Security Frameworkとは？

ここ数年でクラウド技術は世界を席巻しました。テクノロジーを活用する企業は、すでにクラウドに移行済みか、移行プロセス中です。この急速な普及の最大の理由として、使いやすさ、インフラ管理の負担軽減、スケーラビリティ問題の解消、そしてコスト効率が挙げられます。物事には常に表裏があり、クラウド技術も例外ではありません。クラウド技術には固有の課題が存在します。中でも最大の課題はクラウドセキュリティです。

AWS（Amazon Web Services）はクラウドサービスプロバイダーであり、2024年現在で最大の市場シェアを保持しています。AWSは現在32%の市場シェアを占めており、最大のシェアを獲得している理由はクラウド技術が提供する利点ではなく、提供しているツールや統合オプションの数にあります。AWSは、メッセージ送信、ユーザー管理、仮想マシンの作成など、考えられるほぼすべての分野に対応するサービスを提供しています。

本ブログ記事では、AWSセキュリティフレームワークの定義、その仕組み、そして企業がこれを必要とする根本的な理由について解説します。さらに、ウェブアプリケーションやサーバーレスアプリケーションを保護する複数の手法、およびDevSecOpsプロセスを自動化するためのAWS提供ツール・技術についても議論します。DevSecOpsプロセスの自動化に役立つ様々なツールや技術についても解説します。

AWSにおけるアイデンティティとアクセス管理

数百人の従業員を抱える企業は、アイデンティティと各種リソースへのアクセス方法を管理するための適切なツールが必要です。従業員は必要なリソースやデータに応じて特定のアクセスレベルを持つ必要があり、それを実現するためにIAMが不可欠です。このセクションでは、AWS IAMの仕組みについて解説します。

1. AWS Identity and Access Management (IAM):IAMは、セキュリティ上の理由から、企業がAWSリソースやAWSに保存されたデータへのアクセスを制御するために使用されます。IAMの機能はAWS UIまたはAPIを使用してアクセスできます。このツールにより、管理者はユーザー、アクセスキー、権限を一元管理でき、作業効率の向上と煩雑さの軽減を実現します。
2. AWSシングルサインオン（SSO）:クラウド基盤であるAWSシングルサインオン（SSO）サービスを利用することで、AWSアカウントとアプリケーションを一元管理でき、SSO対応AWSアカウントの管理が容易になります。
3. マルチアカウントセキュリティのためのAWS Organizations:組織はルートアカウントまたはメインアカウントの下に複数のAWSアカウントを保有できます。これらすべてのアカウントを管理するためにAWS Organizationsサービスが提供されています。これは通常、企業が小規模企業を買収する場合や、ユースケースに基づいてチームが個別のアカウントを作成する場合に使用されます。

AWSネットワークセキュリティとデータ保護の実装

ネットワークセキュリティとは、ネットワーク上（送信元から送信先へ移動中）の機密情報を保護するためのプロセスです。ネットワークセキュリティは、ハードウェア、ソフトウェア、プロトコルなどを用いて、データを保護することを最終目標として、複数の方法で実装できます。AWSがデータ保護のために提供するツールの一部は以下の通りです：

仮想プライベートクラウド（VPC）

Amazon Virtual Private Cloud（VPC）は、クラウド内に他の部分から隔離されたセクションを作成するのに役立ちます。これらの分離されたネットワークは、ネットワーク内で使用されるリソースを隔離し、パブリックサブネットとプライベートサブネットの両方を提供することで、機密リソースをインターネットからの直接アクセスから保護します。

セキュリティグループとネットワークアクセス制御リスト

AWSはVPC内のトラフィックを制御する2つのツールを提供します。1つ目はセキュリティグループで、インスタンスレベルで動作する仮想ファイアウォールを提供し、IP範囲、ポート、プロトコルなどを使用して着信トラフィックの設定や発信トラフィックの制御を可能にします。もう一つはネットワークアクセス制御リスト（NACL）です。これらのルールはネットワークレベル（この場合はサブネットレベル）で動作し、着信トラフィックと発信トラフィックの両方を制御します。

AWS PrivateLinkとVPCエンドポイント

組織や顧客がパブリックインターネットを経由せずにAWSサービスにアクセスしたい場合、VPCエンドポイントの一つであるAWS PrivateLinkを利用できます。PrivateLinkは顧客がサービスを安全にアクセスできるようにするだけでなく、AWSサービスやVPCエンドポイントサービスからVPCリソースにアクセスすることも可能にします。

データ暗号化

AWSデータ暗号化は、保存時（データアットレスト）と転送時（データインモーション）の両方で機密データを保護する最も重要なセキュリティツールの一つです。保存時のデータを保護するには、Amazon EBS、S3、RDSなどのAWSサービスを利用でき、これらのサービスに保存されているデータを自動的に暗号化するよう直接設定できます（複雑なデータストレージのユースケースでは、直接暗号化を有効化しても機能しない場合があります）。一方、データが転送中のケースでは、SSL/TLSプロトコルとVPN接続を併用することで、攻撃者によるデータの傍受を回避できます。

AWS Certificate Manager

AWSで暗号化技術を円滑に機能させるため、AWS Certificate Manager（ACM）が使用されます。ACMはSSL/TLS証明書のプロビジョニング、管理、デプロイを支援し、証明書の更新管理も行います。これはAWSでWebアプリケーションを展開する企業に広く利用されています。

AWSセキュリティフレームワークの種類

AWSが提供する主なセキュリティフレームワークの種類は以下の通りです：

1. AWS Cloud Adoption Framework (CAF)

AWS CAFは、プロバイダーがセキュリティの観点を得て、データセキュリティのベストプラクティスを定義するのに役立ちます。これは、企業がセキュリティとビジネスの適切なバランスを確保する方法、IAMソリューションを実装すべきか、政府機関の連邦コンプライアンスを企業がどのように満たせるかを示すことに重点を置いています。このフレームワークはガイドとしての性格が強く、企業がセキュリティをビジネスに実装・統合する方法を示しています。

2. コンプライアンスフレームワーク

AWSは正式なセキュリティおよびコンプライアンスプログラムを有し、定義された要件を定めています。AWSは、PCI DSS（ペイメントカード業界向けデータセキュリティ基準）、HIPAA、SOC2などの規制要件を満たすため、複数のインフラストラクチャサービスを設計しています。

3. AWS Control Tower

AWS Control Towerは、サービスプロバイダーが安全でコンプライアンスに準拠したマルチアカウントのAWS環境を構築するのを支援するサービスです。これにより、主要なアカウントロールや基盤サービスの設定が可能となり、アカウント共有、クラウドデータアクセス、アカウント設定問題の解決管理といった機能を追加できます。

4.データ保護フレームワーク

AWSは、企業の機密データや個人識別情報（PII）を保護するためのガイダンスとサービスを提供します。これには、保存時および転送中のデータ保護が含まれます。データ管理（暗号化キー管理、監視、アクセス制御、デバイス使用パターンの分析など）を通じて実現されます。

5. インシデント対応フレームワーク

インシデント対応とは、企業がセキュリティインシデントを管理、対応、復旧するために使用する計画です。AWSユーザーは、API使用状況の監査にAWS CloudTrail、脅威検出にAmazon GuardDuty、対応アクションの自動化にAWS Systems Managerを活用することで、堅牢なインシデント対応計画を構築できます。

6.責任分担モデル

これはフレームワークではなく、AWSセキュリティの観点で理解すべき重要な概念です。このモデルでは、データの保護責任はクラウドプロバイダーだけでなくエンドユーザーにもあります。

セキュリティ監視、ロギング、コンプライアンスのためのAWSツール

AWSは、ロギング、監視、コンプライアンスのための複数のサービスを提供しています。その一部を以下に示します：

#1.AWS CloudTrail

AWS CloudTrailはセキュリティ監視と監査に使用されます。ユーザー、ロール、またはAWSサービス自体によって行われた可能性のある、あらゆるAWSサービスへの操作のログ記録を提供します。

#2.Amazon CloudWatch

Amazon CloudWatch は、ユーザーが AWS 上で実行するリソースやアプリケーションの監視に役立ちます。Amazon EC2 インスタンス、Amazon Dynamo DB テーブルなど、さまざまな AWS リソースの監視に使用されます。

#3. AWS Config

AWS Config は、ユーザーがアカウントで使用している AWS リソースの設定を追跡するのに役立ちます。基本的に、ユーザーの構成を望ましい設定と比較し、最終目標としてセキュリティとコンプライアンスの維持に役立ちます。

#4. AWS Artifact

AWSのセキュリティおよびコンプライアンスレポートやオンライン契約からコンプライアンス関連情報を取得するために、AWSはAWS Artifactサービスを提供しています。このサービスは、AWS ISO認証、ペイメントカード業界（PCI）レポート、サービス組織統制（SOC）レポート、オンライン契約など、複数のコンプライアンス文書をユーザーに提供します。セキュリティおよびコンプライアンスレポートやオンライン契約からコンプライアンス関連情報を取得するために、AWSはAWS Artifactサービスを提供しています。このサービスは、AWS ISO認証、ペイメントカード業界（PCI）レポート、サービス組織統制（SOC）レポートなど、複数のコンプライアンス文書をユーザーに提供します。

#5.AWS Control Tower

AWS Control Tower は、企業がマルチアカウントの AWS 環境を構築するために使用するフレームワークを提供します。すべてのアカウントおよび組織単位に統一されたポリシーを維持することで、コンプライアンスに準拠し、適切に管理されたマルチアカウントポリシーを確保します。

#6.AWS Audit Manager

AWS Audit Manager は、AWS の使用状況を監視し、規制や業界標準へのリスクとコンプライアンスの評価を容易にするサービスです。証拠を自動的に収集するため、監査準備に必要な手作業を削減します。

AWS環境における脅威検知とインシデント対応

セキュリティ脅威を迅速に検知し対応する能力は重要です。この目的のためにAWSが提供するツールの一部は以下の通りです：

• Amazon GuardDuty

AWSはAmazon GuardDutyと呼ばれるインテリジェントな脅威検知サービスをユーザーに提供します。このツールはAWSアカウント内の脅威活動や不正な動作を継続的に監視します。このサービスは、機械学習、異常検知、統合脅威インテリジェンスを活用することで、AWSデータソースからのあらゆる数のレコードを分析できます。

• AWS Security Hub

AWS環境では複数のセキュリティ問題が発生する可能性があります。最も重大な問題を特定するため、管理者はAWS Security Hubを活用できます。これはセキュリティ態勢の全体像を提供し、重大な脅威に関するアラートを整理・優先順位付けします。

• Amazon Detective

セキュリティ調査を大幅に高速化するため、組織はAmazon Detectiveを利用できます。これは機械学習とグラフ理論を用いて、AWSリソースから関連付けられたデータセットを構築します。

• Amazon Macie

データ保護はあらゆる組織にとって絶対的な必要条件です。AmazonはAmazon Macieを提供しており、機械学習とパターンマッチングを活用してAWS内の機密データを保護します。また、データを含みながら暗号化されていない、または公開アクセス可能な（設定ミスによる）Amazon S3バケットのリストを提供することも可能です。&

• AWS IoT Device Defender

IoTデバイスを利用する際、組織は複数のデバイス間で共有されるID証明書や、異常なほど高いアウトバウンドトラフィックを示すデバイス（これはDDoS攻撃への関与を示唆する可能性があります。これらの問題はAWS IoT Device Defenderによって自動的に処理されるため、ハードウェアインフラのセキュリティが確保されます。

AWSにおけるWebおよびサーバーレスアプリケーションの保護方法

Webサービスは現在一般的であり、開発者はWebサーバーを使用してアプリケーションをデプロイしますが、サーバーレスは新しい概念です。サーバーレス環境では、開発者はインフラストラクチャを管理または保守する必要がなく、すべてクラウドプロバイダーによって行われます。Webおよびサーバーレスアプリケーションを保護するために利用できる主要サービスとその役割について説明します：

1. AWS WAF（Webアプリケーションファイアウォール）

一般的なWeb攻撃は、アプリケーションの可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソース消費を引き起こす可能性があります。AWS WAFは、こうした脅威からアプリケーションを保護します。ユーザーはセキュリティルールを作成し、ボットトラフィックを制御したり、SQLインジェクション や クロスサイトスクリプティング などの一般的な攻撃パターンをブロックできます。

2.Amazon Inspector

コンプライアンス確保を支援するAWSサービスの一つがAmazon Inspectorです。アプリケーションの脆弱性やベストプラクティスを分析し、詳細なレポートと深刻度レベルを提供します。レポートには問題解決のための提案も含まれます。

3.AWS Shield

AWS Shieldは、アプリケーションのダウンタイムとレイテンシーを最小限に抑えることを目的とした分散型サービス拒否（DDoS）攻撃対策サービスです。AWS上で実行されているアプリケーションをあらゆる種類のDDoS攻撃から保護します。

4. AWS Firewall Manager

AWS Firewall Managerは、アカウントやアプリケーション全体でAWS WAF、AWS Shield Advanced、Amazon VPCセキュリティグループを一元的に設定・管理することを容易にします。複数のセキュリティルールを管理し、ワークロードを継続的に保護する作業を簡素化します。

5. AWS Network Firewall

AWS Network Firewall を使用すると、すべての Amazon Virtual Private Cloud (VPC) に対してネットワーク保護を簡単に展開できます。AWS Network Firewall では、VPC 間のネットワークトラフィックを細かく制御するファイアウォールルールでセキュリティポリシーを構築できます。

セキュリティ自動化と DevSecOps を実装するためのさまざまなツール

堅牢なセキュリティ態勢を実現するには、セキュリティ自動化をDevOpsプロセスに統合することが重要です。これを支援するAWSツールには以下のようなものがあります：

• AWS Systems Manager

AWS Systems Managerは、ソフトウェアインベントリの自動収集、OSパッチの適用、システムイメージの作成、WindowsおよびLinuxオペレーティングシステムの設定を支援する管理サービスです。

• AWS CloudFormation

AWS CloudFormation は、クラウド環境における AWS およびサードパーティ製アプリケーションリソースを定義およびプロビジョニングするための共通言語を提供します。セキュリティの観点では、CloudFormation により、インフラストラクチャテンプレートの一部としてセキュリティ制御を定義し、追加作業を必要とせずにそれらを適用することができます。

• CI/CD パイプラインとの統合

企業は CI/CD パイプラインを使用してアプリケーションを構築、テスト、デプロイします。以下の AWS サービスと機能は、既存の CI/CD パイプラインと統合して、ビルドサイクル全体のセキュリティ強化に役立ちます。

1. AWS CodePipeline はリリースプロセスの管理を支援し、各段階でセキュリティチェックを統合します。
2. Amazon CodeGuru Reviewer は自動化されたコードレビューを実行し、セキュリティ脆弱性を特定して修正を提案します。
3. AWS CodeBuild は、ビルドプロセスの一環としてセキュリティスキャンやテストを実行するよう設定できます。
4. Amazon ECRのプッシュ時スキャン機能は、コンテナイメージがコンテナレジストリにプッシュされた際に、脆弱性を自動的にスキャンします。

• AWS Security Hubの自動応答と修復

AWS Security Hubの自動対応と修復機能により、セキュリティ上の発見事項に対して自動的にアクションを実行できます。これはAWS Systems Manager Automationドキュメントに基づいて一般的なセキュリティ問題を解決します。例えば、Security Hubが過度に許可的なセキュリティグループルールを検出した場合、アクセスを制限するためにルールを自動的に編集できます。

AWSセキュリティのベストプラクティス

AWSは広く利用されているため、攻撃者の主要な標的となっています。AWSセキュリティ利用時に実施すべきベストプラクティスについて解説します。

#1. 最小権限アクセスの実装

最小権限の原則とは、ユーザーやサービスが業務を遂行するために絶対必要最小限の権限のみを提供すべきという考え方です。AWSは、特定の条件に基づいてアクセスを制限するのに役立つポリシーを作成するためのAWS Identity and Access Management（IAM）を提供しています。ただし、これらのポリシーは、適切であり、最新の基準に合致していることを確認するために、随時レビューおよび監査されるべきです。

#2. ネットワークインフラの保護

仮想プライベートクラウド（VPC） は、ユーザーのインフラストラクチャのセキュリティを維持するために適切に確認および構成する必要があります。AWS管理者は、セキュリティグループとネットワークアクセス制御リスト（NACL）を使用して、入出トラフィックを制御できます。機密性の高いリソースを保護するには、パブリックサブネットとプライベートサブネットを活用し、リソースの重要度やビジネスユースケースに応じてプライベートサブネットにリソースを配置することで、ネットワークのセグメンテーションを実施する必要があります。

#3.データ保護と暗号化戦略

データは、保存時と転送時の両段階で暗号化する必要があります。企業は、AWS Key Management Service を使用して暗号化キーを作成および管理できます。デフォルトの 暗号化 を有効にして、Amazon S3 バケットおよび EBS 内の保存データを暗号化する必要があります。さらに、開発者はSSL/TLSプロトコルを使用して転送中のデータを暗号化できます。S3データへのアクセス権限を制御するため、AWSはバケットポリシーとアクセス制御リストを提供しています。

#4. 監視とインシデント対応

組織はAWS CloudTrail、Amazon CloudWatch、AWS Configを通じて詳細なロギングと監視を有効化できます。さらに、不審なアクティビティが自動的に検出された際には組織にアラートが通知されるべきであり、インテリジェントな脅威検知にはAmazon GuardDutyを活用すべきです。

#5. 継続的なセキュリティ評価とコンプライアンス

AWSは組織内で定期的なセキュリティ評価をスケジュールすることを推奨しています。企業は脆弱性評価のためのセキュリティ評価サービスであるAmazon Inspectorを利用できます。さらに、AWS Audit Managerを含むAWSおよびサードパーティツールを活用し、AWSの利用状況を継続的に監査することで、組織のセキュリティポリシーや基準への準拠を図ることが推奨されます。

AWSセキュリティにSentinelOneが選ばれる理由とは？

SentinelOneは、世界中の企業がAWSインフラを保護するために採用する主要ソリューションです。高度な脅威検知ツールと自動化された対応機能を様々なAWSサービスに適用することで、セキュリティ上のギャップを埋める支援が可能です。これには、EC2インスタンス、コンテナまたはコンテナ化されたアプリケーション、AWS Lambdaを使用したサーバーレス関数が含まれます。

SentinelOne は、高度な 機械学習 モデルと行動分析を使用して、高度なセキュリティ攻撃やデータ侵害を識別し、阻止します。このツールは、AWS CloudTrail や AWS GuardDuty などの AWS サービスと簡単に統合できます。この統合の容易さが、企業によるツール導入を促進します。

SentinelOneはクラウドインフラにおいて、ゼロデイ攻撃およびファイルレスマルウェア（システム上に実行ファイルを必要としないマルウェア）をクラウドインフラストラクチャ内で検出でき、既存のセキュリティ対策に追加の防御層を提供します。クラウドネイティブアーキテクチャを採用しているため、AWSのパフォーマンスへの影響はほとんどありません。

結論

AWS Securityはエンジニアが使うお洒落な言葉ではなく、AWSが提供するセキュリティソリューションであり、AWSに保存/ホストされているデータやアプリケーションが脅威アクターから安全であることを保証します。AWS Security Frameworkは、企業がAWSインフラストラクチャ内のセキュリティ問題を発見・解決するための多層的なプロセスです。これは単なる数個のツールではなく、機密データが悪用されるのを防ぐための多様なツールと複数のガイドラインによって実現されます。

AWS Security Frameworkは、組織の自動化とスケーラビリティのニーズにも対応します。AWS Config、CloudFormation、Systems Managerなどのサービスを提供し、組織がセキュリティをInfrastructure as a Codeサービスとして統合することを支援します。また、同一組織内の複数のAWSアカウントにまたがるセキュリティポリシーの一貫性管理にも役立ちます。