Amazon Web Services (AWS) は、2024年時点で市場シェアの50%を獲得しています。AWSは、大小を問わずあらゆる業界の組織に利用されています。AWSは、顧客がデータ、アプリケーション、インフラストラクチャを保護するのに役立つ数多くのツール、プラクティス、ポリシーを提供しているため、あらゆる組織のインフラストラクチャのニーズを支援することができます。
現時点で組織は、自社の資産にとってクラウドセキュリティの重要性を理解する必要があります。Cybersecurity Venturesはさらに先を見据え、2025年までにサイバー犯罪による世界の年間損失額が10.5兆ドルに達すると推定しています。AWSの場合、セキュリティは共有責任モデルを採用しており、AWS自体がクラウドのセキュリティを管理する一方、顧客自身がクラウド内のセキュリティを維持します。この区別は重要です。
本ブログでは、AWSセキュリティの基本概念を解説した後、主要なセキュリティ課題とその解決策を検証し、SentinelOneのような高度なセキュリティソリューションがこれらのAWSセキュリティ課題に対処する方法を学びます。最後に、AWS環境を保護するための最適なAWSセキュリティ実装手法を実践する方法をご紹介します。
AWSセキュリティとは?
AWSセキュリティは、制御、サービス、機能の組み合わせです。クラウド上に存在する企業のデータ、アプリケーション、インフラストラクチャの保護に役立ちます。AWSセキュリティフレームワークは、AWSプラットフォームの機密性、完全性、可用性を確保するためのツールと実践の組み合わせです。この多層的なセキュリティフレームワークは、組織がネットワークセキュリティ、アクセス管理、データ暗号化、監視、コンプライアンスを保護するのに役立ちます。
AWSセキュリティは共有責任モデルに基づいています。これにより、AWSと利用顧客の責任範囲が明確に定義されます。AWSは「クラウドのセキュリティ」に責任を負い、これはAWSクラウド上で各サービスを実行するインフラストラクチャの保護を意味します。このインフラストラクチャには、AWSクラウドサービスの運用とサポートに使用されるすべてのハードウェア、ソフトウェア、ネットワーク、施設が含まれます。一方、お客様は「クラウド内のセキュリティ」を担当します。これには、さまざまな AWS セキュリティ問題への対処、および AWS サービスに関するセキュリティ制御の設定と実装が含まれます。
AWS セキュリティの必要性
組織が AWS セキュリティを必要とする理由は複数あります。その一部を以下に説明します。
- 脅威の進化する状況: 技術の進歩は、サイバー脅威の増加も意味します。こうした脅威は、時間の経過とともに洗練され、頻度も増すため、従来の方法では追跡が困難になっています。AWS セキュリティは、組織がこうした進化する脅威に対応し、新たな AWS セキュリティの問題に対処するのに役立ちます。
- データ保護: クラウドを利用してデータを保存する組織や個人ユーザーは数多くいます。したがって、クラウドに保存されるデータは飛躍的に増加しています。そのため、このような機密情報を保護することが最優先事項となります。
- コンプライアンス要件: 業界によって、遵守すべきコンプライアンス基準は異なります。また、コンプライアンスのルールは、場所によっても異なる場合があります。AWSセキュリティはこの要件を支援し、組織が規制当局のコンプライアンスを満たすのに役立つツールと機能を提供します。
- 事業継続性: DDoS攻撃やその他のセキュリティインシデントが発生すると、サービスが妨げられ、アプリケーションのダウンタイムが発生する可能性があります。これにより、ビジネス機能も中断される可能性があります。しかし、AWSでは脅威を自動的にリアルタイムで防止・検知・対応できるため、こうしたインシデントを回避できます。
- スケーラビリティと柔軟性:ビジネスの成長に伴い、AWSは要件に応じて拡張性と柔軟性を備えたソリューションを提供します。
CNAPPバイヤーズ・ガイドAWSセキュリティ上の主要な10の問題点
AWSセキュリティは、複数の脅威やセキュリティ上の問題の解決に役立ちます。このセクションでは、その一部について説明します。
#1. 誤設定されたS3バケット
データ漏洩につながる最も一般的な問題は、Amazon S3(Simple Storage Service)バケットの誤設定です。主に、バケットポリシーやアクセス制御リスト(ACL)の誤った設定により、バケットへの読み取りや書き込みを許可するパブリックアクセスなど、過剰な権限が付与された場合に発生します(ACL)の設定ミスにより、バケットへの読み書きを許可するパブリックアクセス権など、過剰な権限が付与されることで発生します。2017年には、公開S3バケット設定ミスにより、機密データが漏洩する結果となりました。
#2. 不十分なアイデンティティおよびアクセス管理(IAM)
最小権限の原則が遵守されない場合、攻撃者はリソースへの不正アクセスを得ることが可能です。また、IAMポリシーの適切な設定が行われない場合、脅威アクターや内部従業員に必要以上の権限を与える可能性があります。さらに、日常業務やタスク(VMの作成など)にルートアカウントを使用し、多要素認証が実装されていない場合、ベストプラクティスが遵守されないという重大な問題が生じます。
#3.安全でないAPIと脆弱なAPIゲートウェイ設定
API(アプリケーションプログラミングインターフェース)は、AWS内の異なるサービス間の通信に使用されます。攻撃に対して脆弱になる可能性のある一般的な問題には、不適切な認証、データ転送時の暗号化不足、APIアクセス時の効果的なレート制限の欠如などがあります。
#4. 不十分なロギングとモニタリング
組織は、AWS環境における適切なロギングという、モニタリングの最も重要な要素の一つを実装し忘れることがあります。AWS CloudTrailの有効化を見落としている可能性があります。これはすべてのAPI呼び出しをログに記録し、AWSセキュリティ内で発生するすべての活動を追跡するのに役立ちます。適切なアラートメカニズムが設定されていない場合、または適切な間隔でログの監査が行われていない場合、セキュリティインシデントが見過ごされ、最終的にデータ侵害につながる可能性があります。
#5. 暗号化されていないデータの保存と転送
AWS環境における最も重大な問題の一つは、暗号化されていないデータです。データは2段階で暗号化されるべきです。一つは保存時(データアットレスト)、もう一つは転送時(ネットワーク経由で送信される時)です。適切な暗号化技術が適用されない場合、攻撃者がこのデータに不正アクセスする可能性があり、データ漏洩やデータ保護規制違反につながり、深刻な財務的・評判的損害を招く恐れがあります。
#6.脆弱な EC2 インスタンス
古いソフトウェア、パッチが適用されていないシステム、または設定ミス(インバウンドトラフィックの IP 範囲が広く開放されているなど)により、EC2 インスタンスは脆弱になり、マルウェアなどの攻撃を受けやすくなります。その他の悪用方法としては、開いているポート、SSH の設定ミス、定期的な脆弱性評価の実施不備などが挙げられます。
#7.不十分なネットワークセキュリティ
ネットワークインフラは、クラウドの中で最も脆弱な構成要素です。なぜなら、仮想プライベートクラウド(VPC) およびネットワークアクセス制御リスト(NACL)の設定が適切に行われていない場合、インターネット経由で直接アクセス可能となるため、クラウド環境において最も脆弱な要素となります。
ネットワークベースの攻撃には、入出トラフィックへの無制限アクセスが含まれる可能性があります。ネットワークの適切なセグメンテーションが行われていない場合にも発生し、インフラストラクチャの異なる部分が相互に、また場合によってはパブリックインターネットに晒される状態となります。
この安全な接続性の欠如により、機密データが送信中に傍受や改ざんされるリスクが生じ、全体的な危険性が増大します。
#8. 不十分なシークレット管理
APIキー、アクセストークン、パスワードなどの機密情報が組織内で適切に扱われない場合、攻撃者が機密シークレットにアクセスする原因となります。開発者はこれらの認証情報をコードリポジトリ、設定ファイル、環境変数内に平文で保存することがよくあります。攻撃者がこれらの平文シークレットにアクセスした場合、深刻なセキュリティ侵害につながる可能性があります。
KMSソリューションに安全に保管することに加え、侵害が発生した場合の長期的な露出リスクを回避するため、これらの認証情報を定期的にローテーションすることが重要です。
#9.サーバーレスおよび Lambda 関数の脆弱性
AWS Lambda などのサーバーレスコンピューティングには、固有の課題があります。関数の権限設定が不適切な場合、攻撃者は不正アクセスを得ることが可能です。関数が API キーやシークレットを使用しており、適切に扱われていない場合、サーバーレス関数を悪用しようとする攻撃者の手に渡る可能性があります。
#10. コンテナと Kubernetes のセキュリティ問題
組織がECSやEKSなどのサービスを用いてAWS上でコンテナ化とKubernetesを採用するにつれ、コンテナ脱出脆弱性、不十分なネットワークセグメンテーション、不十分なリソース分離といった新たなセキュリティ課題が明らかになってきました。これには、安全でないコンテナイメージ、過度に寛容なポッドセキュリティポリシー、Kubernetes RBAC(ロールベースアクセス制御)の設定ミスなどが含まれます。コンテナ環境の動的な性質は、可視性の維持や一貫したセキュリティポリシーの実施を困難にし、脆弱性が検出されずに攻撃者に悪用される可能性を生じさせます。
AWSセキュリティのベストプラクティス
組織がAWSセキュリティの効果を確保し、これらのAWSセキュリティ問題から身を守るためには、ベストプラクティスに従う必要があります。これらの AWS セキュリティ問題に対処するためのベストプラクティスの一部を以下に示します。
#1. 強力なアイデンティティおよびアクセス管理 (IAM) の実装&
AWS環境を安全に設定する唯一の正しい方法は、強力なIDとアクセス管理ポリシーを実装することです。組織は常に最小権限の原則に従うべきです。これは、実際のタスクを実行する必要があるユーザーとサービスのみに許可を与えることを意味します。MFA(多要素認証)の有効化も有用であり、特に通常のユーザーよりも多くの権限を持つユーザー(特にルートユーザー)に対して有効です。
アクセスキーは定期的に監査する必要があり、非アクティブなアカウントについても同様です。不要になった権限は削除してください。また、AWS Organizationsは、単一のルートアカウントから複数のアカウントを管理する場合に利用可能な、多様な制御オプションを提供します。
#2. 保存時および転送中のデータの暗号化
転送中および保存中のデータを暗号化することも重要な対策です。AWS Key Management Service(AWS KMS)を使用すると、開発者は暗号化キーを作成・管理でき、さまざまなAWSサービスでデータを暗号化できます。ただし、KMSを使用してもS3、EBS、またはRDS内のデータが自動的に暗号化されるわけではないという事実を認識しておく必要があります。これらのサービスでは、KMSで管理されるキーを使用した暗号化を適用するために手動での設定が必要です。API呼び出しや異なるサービス間の転送を含む、すべてのデータ転送にはSSL/TLSの使用が推奨されます。
さらに、組織は暗号化キーが常に更新されるよう、定期的なキーローテーションの方針を実施すべきです。
AWS Certificate ManagerはSSL/TLS証明書の管理に有用ですが、保存データ用の暗号化キーを直接管理するものではありません。キーのローテーションについては、KMS の自動キーローテーション機能を使用するか、カスタムのローテーション戦略を実装する必要があります。
#3. ネットワークセキュリティの強化
もう 1 つの重要な対策は、ネットワークセキュリティの強化です。企業は、リソースの最大限の分離を可能にするよう適切に構成できる仮想プライベートクラウド(VPC)を使用すべきです。セキュリティグループとネットワークアクセス制御リスト(ACL)を使用して、入出トラフィックの制御を確保し、第一防衛ラインとして機能させる必要があります。
組織は、SQLインジェクション、XSS、オンプレミスネットワークとAWSリソース間の安全な通信には、VPNまたはAWS Direct Connectを利用できます。これらの技術はいずれも暗号化された専用接続を提供し、ハイブリッドクラウドアーキテクチャのセキュリティを強化します。また、ネットワークとネットワーク構成は定期的に見直し、新たな脅威や脆弱性を特定・排除する必要があります。
#4. 包括的なロギングとモニタリングの実装
包括的なロギングとモニタリングの実装は、AWS環境の可視性を維持し、潜在的な脅威を特定するために不可欠です。まず、インフラストラクチャ全体のすべてのAPI呼び出しを記録するAWS CloudTrailを有効化します。この機能は標準で利用可能なため、使用しない理由はありません。AWSアカウント内で発生したアクションの詳細な監査証跡を生成するのに役立ちます。脅威やポリシー違反への即時対応を確保するため、Amazon CloudWatchを使用して環境のアラームを設定してください。
同時に、AWS ConfigはAWSリソースの構成を評価・監査・検証し、組織のポリシーへの準拠を確保する上で有用なツールです。すべてのログは定期的に確認され、異常が検出された場合は自動アラームの対象とすべきです。同時に、Amazon GuardDuty の全機能を活用してインテリジェントな脅威検出と継続的な監視を行い、環境のセキュリティをさらに強化してください。
#5. 定期的なセキュリティ評価の実施
最後に、AWS 環境のセキュリティを維持するには、定期的なセキュリティ評価と更新が不可欠です。したがって、インフラストラクチャに脆弱性がないかを確認するため、AWS環境の脆弱性評価とペネトレーションテストを実施してください。同時に、既知の脆弱性から環境を保護するため、すべてのシステムとアプリケーションを最新のパッチで常に最新の状態に保つことを忘れないでください。
AWS Trusted Advisorを活用し、環境を常に安全かつ最適なパフォーマンスとコスト状態に保つためのリアルタイムガイダンスを提供します。また、インシデント対応計画を定期的に更新し、環境に対する特定の脅威に対するあらゆる対応戦略を網羅していることを確認してください。
さらに、組織がHIPAAやPCI DSSなどの特定の規制の対象となる場合は、定期的なセキュリティ監査とコンプライアンスチェックを実施することを忘れないでください。
AWSセキュリティ問題に対するSentinelOne
SentinelOneは、現代において最も堅牢なセキュリティソリューションの一つとして登場したインテリジェントツールです。AWS環境とのシームレスな統合を提供し、組織が脅威から身を守り、インシデントに対応するのを支援します。このプラットフォームは、様々なAWSセキュリティ課題に対処するために特別に設計されています。インテリジェントと呼ばれる理由は、人工知能と機械学習を活用し、組織の検知、予防、対応の能力を現在のレベルからさらに高い次元へ引き上げる点にあります。
深いAWS統合
SentinelOneの主要な強みのひとつは、AWSサービスとの深い統合です。Amazon Security Lake、AppFabric、GuardDutyを含む20以上の統合により、可視性を高め、脅威ハンティングプロセスを効率化します。この緊密な統合により、セキュリティへのより包括的なアプローチが可能となり、脆弱性が見落とされることを防ぎます。
SentinelOneは最近、AWS Security Hubとの新たな連携を発表しました。これはSentinelOne Singularity Marketplaceで利用可能です。この新連携により、Amazon Web Services(AWS)上で動作するSentinelOneエージェントから収集した高精度脅威情報がAWS Security Hubにフィルタリングされます。SentinelOneコンソールからメタデータを含む検知結果を取得しAWS Security Hubにプッシュするため、AWS Security Hubから直接インシデント調査が可能になります。SentinelOneのインシデントはAWS Security Finding Format(ASFF)に正規化されるため、セキュリティデータの変換や解析が不要です。
完全な可視性
SentinelOneは組織のAWS環境を完全に可視化します。この可視性には、ネットワークトラフィック、ファイルシステム活動、プロセス動作に関する情報が含まれます。セキュリティチームは、この情報を活用して潜在的な脅威を迅速に特定し調査することができます。
自動修復
セキュリティチームがSentinelOneを採用する理由は、セキュリティ監視の支援だけでなく、脅威への自動対応を可能にする自動修復などの機能にもあります。このプロセスには、影響を受けたリソースの隔離、悪意のあるリソースの強制終了、システムを安全な状態へのロールバックが含まれます。自動化はセキュリティインシデントへの平均対応時間(MTTR)の短縮にも寄与し、データ漏洩による被害を軽減します。
コンプライアンス支援
厳格な基準により、コンプライアンス要件は組織にとって頭痛の種となることが少なくありません。本プラットフォームはコンプライアンス支援を提供し、組織の負担を軽減します。GDPR、HIPAA、PCI DSSなどの基準への準拠を支援します。監査目的で詳細なレポートを生成します。また、プラットフォームは本質的に拡張性が高く、小規模から大規模組織まであらゆる組織に最適です。
結論
本ブログで探求してきた通り、AWSセキュリティは多層的なアーキテクチャであり、クラウドコンピューティング上で業務を運営する企業にとって極めて重要であることが理解できます。
AWSセキュリティは共有責任モデルに基づいており、AWSと組織自身が担うべき異なる役割と責任を明確にしています。本ブログでは、様々なAWSセキュリティ課題を検討してきました。組織が直面する最も重大なAWSセキュリティ課題は、S3バケットの設定ミス、不適切なIAMポリシー、安全でないAPI、暗号化されていないデータ、脆弱なEC2インスタンス、ネットワークセキュリティの弱点、不十分なシークレット管理、サーバーレスの脆弱性、コンテナセキュリティの課題です。
組織は、強力なIDおよびアクセス管理、データライフサイクル全段階でのデータ暗号化など、ベストプラクティスを実施することで、上記のセキュリティ問題から自らを守ることができます。これらのプラクティスは組織を保護するだけでなく、AWSセキュリティ機能を最大限に活用する上でも役立ちます。
SentinelOneプラットフォームは、絶えず進化する脅威の性質から組織を保護するのに役立ちます。このプラットフォームは追加のセキュリティ層として機能します。このツールは人工知能と機械学習を活用し、脅威をほぼリアルタイムで発見・解決します。SentinelOneはAWSセキュリティ機能と連携し、組織のための強固な防御体制を構築できます。
FAQs
AWSの利用に関連する最も重大なリスクには、データ漏洩を招くS3バケットの設定ミス、不正アクセスを招くIDおよびアクセス管理ポリシーの不適切な設定、ハッカーによる脆弱なAPIの悪用、不十分なログ記録と監視、暗号化されていない機密データの保存と送信、古いソフトウェアや不適切な設定による安全でないEC2インスタンスなどが含まれます。
SentinelOneは、クラウド環境向けに高度に開発されたフル機能のセキュリティソリューションであり、AWSとの統合性に優れています。AI駆動型プラットフォームは、EC2、コンテナ、Kubernetesクラウドソフトウェアなど、多様なサービスにわたる自律的なAWSセキュリティソリューションを提供します。本ソリューションの利点には、フルスタック可視性、脅威対応の自動化、詳細なフォレンジック分析の実施能力、脅威対応に必要なリソースの大幅な削減が含まれます。