クラウド技術はここ数年で世界中に普及しました。テクノロジーを活用する企業は、すでにクラウドへ移行したか、現在移行中です。この急速な普及の主な理由は、使いやすさ、インフラ管理の負担軽減、スケーラビリティ問題の解消、コスト効率の高さにあります。しかし、すべての物事には表裏があり、クラウド技術も例外ではありません。クラウド技術には独自の課題が存在します。その中でも最大の課題がクラウドセキュリティです。
AWS(Amazon Web Services)はクラウドサービスプロバイダーであり、2024年時点で最大の市場シェアを持っています。AWSは現在32%の市場シェアを保持しており、その理由はクラウド技術の利点だけでなく、提供されるツールや統合オプションの多さにあります。AWSは、メッセージ送信、ユーザー管理、仮想マシンの作成など、考えられるほぼすべての用途に対応したサービスを提供しています。
本ブログ記事では、AWSセキュリティフレームワークとは何か、その仕組み、企業がなぜ必要とするのかについて解説します。また、ウェブおよびサーバーレスアプリケーションを保護する複数の方法や、DevSecOpsプロセスを自動化するためにAWSが提供するさまざまなツールや技術についても紹介します。
AWSにおけるアイデンティティおよびアクセス管理
従業員が数百人規模の企業では、アイデンティティ管理やリソースへのアクセス制御のために適切なツールが必要です。従業員は必要なリソースやデータに応じて特定のアクセスレベルを持つ必要があり、それを実現するためにIAMが必要となります。本セクションでは、AWS IAMの仕組みについて解説します。
- AWS Identity and Access Management (IAM): IAMは、企業がAWSリソースやAWSに保存されたデータへのアクセスを制御するために使用されます。IAMの機能はAWSのUIまたはAPIから利用可能です。このツールにより、管理者はユーザー、アクセスキー、権限を一元管理でき、効率化と煩雑さの軽減が可能となります。
- AWS Single Sign-On (SSO): AWSアカウントやアプリケーションは、クラウドベースのAWS Single Sign-On(SSO)サービスを利用することで一元管理できます。これにより、SSO AWSアカウントの管理が容易になります。
- AWS Organizationsによるマルチアカウントセキュリティ: 組織は、ルートまたはメインアカウントの下に複数のAWSアカウントを持つことができます。AWS Organizationsサービスは、これらすべてのアカウントを管理するために提供されています。これは、企業が小規模企業を買収した場合や、チームごとにユースケースに応じて別アカウントを作成する場合によく利用されます。
AWSネットワークセキュリティとデータ保護の実装
ネットワークセキュリティは、ネットワーク上(送信元から送信先まで)で機密情報を保護するためのプロセスです。ネットワークセキュリティは、ハードウェア、ソフトウェア、プロトコルなど複数の方法で実装でき、最終的な目的はデータの保護です。AWSが提供するデータ保護用ツールの一部は以下の通りです。
Virtual Private Cloud
Amazon Virtual Private Cloud (VPC)は、クラウド内に他のクラウド部分から分離されたセクションを作成するのに役立ちます。これらの分離されたネットワークは、ネットワーク内で使用されるリソースを分離し、パブリックおよびプライベートサブネットの両方を提供することで、機密リソースをインターネットから直接アクセスされることから保護します。
セキュリティグループとネットワークアクセスコントロールリスト
AWSは、VPC内のトラフィックを制御するために2つのツールを提供しています。1つ目はセキュリティグループで、AWSがインスタンスレベルで動作する仮想ファイアウォールを提供し、受信トラフィックの設定やIPレンジ、ポート、プロトコルなどを使った送信トラフィックの制御が可能です。もう1つはネットワークアクセスコントロールリスト(NACL)です。これらのルールはネットワークレベル、つまりサブネットレベルで動作し、受信・送信トラフィックの両方を制御します。
AWS Private LinkとVPCエンドポイント
組織や顧客がパブリックインターネットを使用せずにAWSサービスへアクセスしたい場合、AWS PrivateLink(VPCエンドポイントの1つ)を利用できます。PrivateLinkはサービスへの安全なアクセスを可能にし、AWSサービスやVPCエンドポイントサービスからVPCリソースへのアクセスも実現します。
データ暗号化
AWSデータ暗号化は、静止状態(データアットレスト)および転送中(データインモーション)の両方で機密データを保護するための最も重要なセキュリティツールの1つです。データアットレストを保護するためには、Amazon EBS、S3、RDSなどのAWSサービスを利用し、これらに保存されているデータを自動的に暗号化するよう直接設定できます(複雑なデータストレージユースケースでは直接暗号化が機能しない場合もあります)。データインモーションの場合は、SSL/TLSプロトコルやVPN接続を利用して攻撃者によるデータの傍受を防ぎます。
AWS Certificate Manager
AWSで暗号化技術を円滑に運用するために、AWS Certificate Manager(ACM)が使用されます。ACMはSSL/TLS証明書の発行、管理、デプロイ、および証明書の更新管理を支援します。これはAWSでウェブアプリケーションを展開する企業で広く利用されています。
AWSセキュリティフレームワークの種類
AWSが提供する主なセキュリティフレームワークの種類は以下の通りです。
1. AWS Cloud Adoption Framework (CAF)
AWS CAFは、プロバイダーがセキュリティの観点を得て、データセキュリティのベストプラクティスを定義するのに役立ちます。これは、企業がセキュリティとビジネスの適切なバランスを確保する方法、IAMソリューションの実装方法、政府機関との連邦コンプライアンスを満たす方法に重点を置いています。このフレームワークはガイド的な役割を果たし、企業がどのようにセキュリティをビジネスに統合・実装できるかを示します。
2. コンプライアンスフレームワーク
AWSは正式なセキュリティおよびコンプライアンスプログラムを持ち、いくつかの要件が定義されています。AWSは、PCI DSS(決済カード業界データセキュリティ基準)、HIPAA、SOC2など、組織が規制要件を満たすためのインフラサービスを設計しています。
3. AWS Control Tower
AWS Control Towerは、サービスプロバイダーが安全かつコンプライアンスに準拠したマルチアカウントAWS環境を構築するのに役立つサービスです。これにより、主要なアカウントロールやサービスの基盤を設定し、アカウント共有、クラウドデータアクセス、アカウント設定問題の解決管理などの機能を追加できます。
4. データ保護フレームワーク
AWSは、企業の機密データやPIIデータを保護するためのガイダンスやサービスを提供しています。これには、データアットレストおよびインモーションの保護が含まれます。暗号鍵管理、監視、アクセス制御、デバイス利用パターンなどのデータ管理を通じて実現されます。
5. インシデントレスポンスフレームワーク
インシデントレスポンスは、企業がセキュリティインシデントを管理・対応・復旧するための計画です。AWSユーザーは、API使用状況の監査用AWS CloudTrail、脅威検知用Amazon GuardDuty、レスポンス自動化用AWS Systems Managerを活用して、堅牢なインシデントレスポンス計画を構築できます。
6. 共有責任モデル
これはフレームワークではなく、AWSセキュリティにおいて理解すべき重要な概念です。このモデルでは、データのセキュリティ責任はクラウドプロバイダーだけでなく、エンドユーザーにもあるとされています。
AWSのセキュリティ監視、ログ記録、コンプライアンスのためのツール
AWSは、ログ記録、監視、コンプライアンスのために複数のサービスを提供しています。主なものは以下の通りです。
#1. AWS CloudTrail
AWS CloudTrailは、セキュリティ監視および監査に使用されます。ユーザー、ロール、またはAWSサービス自体によるAWSサービスへのすべてのアクションのログトレイルを提供します。
#2. Amazon CloudWatch
Amazon CloudWatchは、ユーザーがAWS上で実行するリソースやアプリケーションの監視を支援します。Amazon EC2インスタンス、Amazon DynamoDBテーブルなど、さまざまなAWSリソースの監視に利用されます。
#3. AWS Config
AWS Configは、ユーザーがアカウント内で使用するAWSリソースの設定を追跡するのに役立ちます。ユーザーの設定を望ましい設定と比較し、最終的な目標としてセキュリティとコンプライアンスの維持を支援します。
#4. AWS Artifact
AWSのセキュリティ&コンプライアンスレポートやオンライン契約からコンプライアンス関連情報を取得するために、AWS Artifactサービスが提供されています。このサービスは、AWS ISO認証、PCIレポート、サービス組織管理(SOC)レポートなど、複数のコンプライアンス文書をユーザーに提供します。
#5. AWS Control Tower
AWS Control Towerは、企業がマルチアカウントAWS環境を構築するためのフレームワークを提供します。すべてのアカウントや組織単位にわたって一貫したポリシーを維持することで、コンプライアンスとガバナンスの行き届いたマルチアカウントポリシーを実現します。
#6. AWS Audit Manager
AWS Audit Managerは、AWSの利用状況を監視し、リスク評価や規制・業界標準へのコンプライアンスを容易にします。証拠を自動的に収集し、監査準備にかかる手作業を削減します。
AWS環境における脅威検知とインシデントレスポンス
セキュリティ脅威を迅速に検知し対応する能力は重要です。AWSがこの目的で提供するツールの一部は以下の通りです。
Amazon GuardDuty
AWSは、Amazon GuardDutyというインテリジェントな脅威検知サービスを提供しています。このツールは、AWSアカウント内の脅威活動や不正行為を継続的に監視します。機械学習、異常検知、統合脅威インテリジェンスを活用し、AWSデータソースからの多数のレコードを分析できます。
AWS Security Hub
AWS環境では複数のセキュリティ問題が発生する可能性があります。最も重要な問題を把握するために、管理者はAWS Security Hubを利用できます。Security Hubはセキュリティ体制の全体像を提供し、重大な脅威のアラートを整理・優先順位付けします。
Amazon Detective
より迅速なセキュリティ調査のために、組織はAmazon Detectiveを利用できます。これは機械学習とグラフ理論を用いて、AWSリソースからリンクされたデータセットを構築します。
Amazon Macie
データ保護はすべての組織にとって不可欠です。AmazonはAmazon Macieを提供しており、機械学習とパターンマッチングを用いてAWS内の機密データを保護します。また、Amazon S3バケットのうち、暗号化されていない、またはパブリックアクセス可能(誤設定)なもののリストも提供できます。
AWS IoT Device Defender
IoTデバイスを利用する際、複数デバイス間で共有されるアイデンティティ証明書や、異常に高い送信トラフィックを持つデバイス(DDoS攻撃への参加の可能性)などに注意が必要です。これらの問題はAWS IoT Device Defenderによって自動的に対処され、ハードウェアインフラのセキュリティが確保されます。
AWSにおけるWebおよびサーバーレスアプリケーションのセキュリティ対策
現在、Webサービスは一般的であり、開発者はWebサーバーを利用してアプリケーションをデプロイしますが、サーバーレスは新しい概念です。サーバーレス環境では、開発者がインフラを管理・保守する必要がなく、すべてクラウドプロバイダーが対応します。Webおよびサーバーレスアプリケーションを保護するために利用できる主要サービスとその役割について解説します。
1. AWS WAF(Web Application Firewall)
一般的なWeb攻撃は、アプリケーションの可用性に影響を与えたり、セキュリティを損なったり、過剰なリソース消費を引き起こす可能性があります。AWS WAFは、これらすべての脅威からアプリケーションを保護します。ユーザーは、ボットトラフィックの制御や、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするためのセキュリティルールを作成できます。
2. Amazon Inspector
コンプライアンス確保に役立つAWSのサービスの1つがAmazon Inspectorです。これはアプリケーションの露出、脆弱性、ベストプラクティスを分析します。Amazon Inspectorは、これらすべての詳細なレポートとその深刻度レベルを提供します。レポートには問題解決のための提案も含まれています。
3. AWS Shield
AWS Shieldは、分散型サービス拒否(DDoS)攻撃からの保護サービスであり、アプリケーションのダウンタイムや遅延を最小限に抑えることを目的としています。AWS上で稼働するアプリケーションをあらゆる種類のDDoS攻撃から保護します。
4. AWS Firewall Manager
AWS Firewall Managerは、AWS WAF、AWS Shield Advanced、Amazon VPCセキュリティグループをアカウントやアプリケーション全体で一元的に設定・管理することを容易にします。複数のセキュリティルールの管理やワークロードの継続的な保護を簡素化します。
5. AWS Network Firewall
AWS Network Firewallは、すべてのAmazon Virtual Private Cloudに対してネットワーク保護を簡単に導入できます。AWS Network Firewallを利用することで、VPC間のネットワークトラフィックを細かく制御するファイアウォールルールによるセキュリティポリシーを構築できます。
セキュリティ自動化およびDevSecOps実装のための各種ツール
より堅牢なセキュリティ体制を実現するためには、DevOpsプロセスにセキュリティ自動化を統合することが重要です。これを支援するAWSのツールには以下のようなものがあります。
AWS Systems Manager
AWS Systems Managerは、ソフトウェアインベントリの自動収集、OSパッチの適用、システムイメージの作成、WindowsおよびLinux OSの設定を支援する管理サービスです。
AWS CloudFormation
AWS CloudFormationは、クラウド環境でAWSおよびサードパーティアプリケーションリソースを定義・プロビジョニングするための共通言語を提供します。セキュリティ面では、CloudFormationによりインフラテンプレートの一部としてセキュリティ制御を定義し、追加作業なしで強制できます。
CI/CDパイプラインとの統合
企業はCI/CDパイプラインを利用してアプリケーションのビルド、テスト、デプロイを行います。以下のAWSサービスや機能は、既存のCI/CDパイプラインと統合することで、ビルドサイクル全体のセキュリティ強化に役立ちます。
- AWS CodePipelineはリリースプロセスの管理を支援し、さまざまな段階でセキュリティチェックを統合できます。
- Amazon CodeGuru Reviewerは、自動コードレビューを実施し、セキュリティ脆弱性の特定と修正提案を行います。
- AWS CodeBuildは、ビルドプロセスの一部としてセキュリティスキャンやテストを実行するよう設定できます。
- Amazon ECRのpush時スキャン機能は、コンテナイメージがリポジトリにプッシュされた際に自動的に脆弱性スキャンを実施します。
AWS Security Hubの自動対応と修復
AWS Security Hubの自動対応と修復機能により、セキュリティ検出結果に基づき自動的にアクションを実行できます。これはAWS Systems Manager Automationドキュメントに基づき、一般的なセキュリティ問題を解決します。例えば、Security Hubが過度に許可されたセキュリティグループルールを検出した場合、自動的にルールを編集してアクセスを制限できます。
AWSセキュリティのベストプラクティス
AWSは広く利用されているため、攻撃者の主要な標的となっています。AWSセキュリティ利用時に実施すべきベストプラクティスをいくつか紹介します。
#1. 最小権限アクセスの実装
最小権限の原則は、ユーザーやサービスが業務を完了するために絶対に必要な最小限の権限のみを付与することを指します。AWSは、AWS Identity and Access Management (IAM)を提供しており、特定条件に基づいてアクセスを制限するポリシーの作成が可能です。ただし、これらのポリシーは定期的に見直し・監査し、最新基準に適合していることを確認する必要があります。
#2. ネットワークインフラのセキュリティ確保
Virtual Private Cloud(VPC)は、ユーザーインフラのセキュリティ維持のために適切に確認・設定する必要があります。AWS管理者は、セキュリティグループやネットワークアクセスコントロールリスト(NACL)を利用して、入出力トラフィックを制御できます。機密リソースを保護するためには、パブリックおよびプライベートサブネットを活用したネットワーク分割を実施し、リソースの重要度やビジネスユースケースに応じてプライベートサブネットに配置します。
#3. データ保護と暗号化戦略
データは静止時と転送時の両方で暗号化すべきです。企業はAWS Key Managementサービスを利用して暗号鍵を作成・管理できます。デフォルトの暗号化を有効化し、Amazon S3バケットやEBS内のデータをアットレストで暗号化します。さらに、開発者はSSL/TLSプロトコルを利用して転送中のデータを暗号化できます。S3データへのアクセス制御には、バケットポリシーやアクセスコントロールリストが提供されています。
#4. 監視とインシデントレスポンス
組織は、AWS CloudTrail、Amazon CloudWatch、AWS Configによる詳細なログ記録と監視を有効化できます。また、疑わしいアクティビティが自動検出された際には組織にアラートを通知し、Amazon GuardDutyを活用してインテリジェントな脅威検知を行うべきです。
#5. 継続的なセキュリティ評価とコンプライアンス
AWSは、組織内で定期的なセキュリティ評価のスケジューリングを推奨しています。企業は、脆弱性評価用のセキュリティ評価サービスであるAmazon Inspectorを利用できます。また、AWSおよびサードパーティツールを活用してAWS利用状況を継続的に監査し、AWS Audit Managerを含む組織のセキュリティポリシーや基準への準拠を確保できます。
なぜAWSセキュリティにSentinelOneなのか?
SentinelOneは、世界中の企業がAWSインフラを保護するために利用するリーディングソリューションです。高度な脅威検知ツールと自動対応機能を活用し、さまざまなAWSサービスにわたるセキュリティギャップを埋めることができます。これには、EC2インスタンス、コンテナまたはコンテナ化アプリケーション、AWS Lambdaを利用したサーバーレス機能が含まれます。
SentinelOneは、高度な機械学習モデルと振る舞い分析を用いて、巧妙なセキュリティ攻撃やデータ侵害を特定・阻止します。このツールは、AWS CloudTrailやAWS GuardDutyなどのAWSサービスと容易に統合できます。統合の容易さにより、企業はツールの導入をスムーズに進められます。
SentinelOneは、ゼロデイ攻撃や、クラウドインフラ内で実行ファイルを必要としないファイルレスマルウェアも検知でき、既存のセキュリティ制御にさらなる防御層を追加します。クラウドネイティブアーキテクチャを採用しているため、AWSのパフォーマンスへの影響も最小限です。
サーバー、VM、コンテナ向けのAI搭載クラウドワークロード保護(CWPP)。実行時の脅威をリアルタイムで検知・阻止します。
まとめ
AWSセキュリティはエンジニアが使う流行語ではなく、AWSが提供する、AWSに保存・ホストされるデータやアプリケーションを脅威アクターから保護するためのセキュリティソリューションです。AWSセキュリティフレームワークは、企業がAWSインフラのセキュリティ課題を発見・解決するための多層的なプロセスです。これは数個のツールだけでなく、多様なツールと複数のガイドラインによって、機密データが不正に流出しないようにしています。
AWSセキュリティフレームワークは、組織の自動化やスケーラビリティのニーズにも対応しています。AWS Config、CloudFormation、Systems Managerなどのサービスを通じて、セキュリティをInfrastructure as Codeサービスとして統合できます。また、同一組織内の複数AWSアカウントにわたるセキュリティポリシーの一貫性管理にも役立ちます。
よくある質問
AWSセキュリティフレームワークは、AWSクラウドインフラストラクチャを保護するという単一の目的のために、複数のセキュリティツールとサービスで構成されています。フレームワークの一部のコントロールには、ユーザー認証と認可を管理するアイデンティティおよびアクセス管理(IAM)、セキュリティグループやVPCを管理するネットワークコントロール、暗号化と鍵管理を確保するデータ保護コントロールなどがあります。
AWS環境において、フレームワークとは、エンドユーザー(開発者や企業)が成果を達成するための体系的な方法や推奨事項のセットです(これは企業ごとに異なる場合があります)。一般的に、このようなシステムはベストプラクティス、設計原則、既存のアーキテクチャやプロセスを評価するための一連の質問を扱います。
AWS Well-Architected Frameworkの6つの柱は、セキュリティ、信頼性、パフォーマンス効率、運用上の優秀性、コスト最適化です。これらの各柱は、より効率的なクラウドシステムの構築に寄与します。運用上の優秀性は、ビジネスや個人の価値提案の開発を可能にするシステムの運用および監視と定義できます。
