クラウドコンピューティングが普及する中、AWS(Amazon Web Services)は主要プラットフォームの一つであり続けています。AWSは堅牢でスケーラブルなソリューションを提供し、あらゆる規模の企業が物理インフラなしでアプリケーションを展開することを可能にします。しかし、その普及に伴い重大なセキュリティ課題も生じています。クラウド上の機密データを保護することは極めて重要です。なぜなら、侵害はデータ盗難、サービス中断、そして多額の規制罰金につながる可能性があるからです。
AWSは安全なクラウドインフラストラクチャを提供していますが、クラウドセキュリティは共有責任モデルに基づいています。AWSがクラウド自体のセキュリティを管理する一方で、クラウドに展開するリソースの保護は各企業の責任となります。つまりユーザーは警戒を怠らず、セキュリティのベストプラクティスを実装する必要があります。しかしまず、AWSセキュリティの必要性が高まっている理由を探ってみましょう。
AWSセキュリティの必要性
クラウドの柔軟性は無数の組織をAWSに引き寄せ、迅速な拡張を目指す企業にとって定番のプラットフォームとなっています。しかし、この利便性がサイバー犯罪者の標的となる要因にもなっています。IAMルートユーザーの認証情報使用率は低いものの、依然として潜在的なセキュリティリスクを孕んでいます。ほぼ全ての組織で、多要素認証を導入していないアカウントが少なくとも1つ存在し、AWSセキュリティ侵害の事例は数多く記録されている。
残念ながら、クラウドの設定ミス、不十分なアクセス制御、セキュリティベストプラクティスの未遵守が、さらなるAWSセキュリティリスクを生み出している。多くの組織は、AWSが全てを処理すると想定し、セキュリティ上の影響を十分に理解せずにクラウドサービスを採用しています。
AWSは、ユーザーがリソースを保護するためのツール、ガイドライン、ドキュメントを提供しています。しかし、これらのツールの誤用や設定ミスは脆弱性を生み出す可能性があります。組織は、AWSに関連する主要なセキュリティリスクを理解することで、攻撃対象領域を削減するための積極的な対策を講じることができます。
9つのAWSセキュリティリスク
AWSにおける重大なセキュリティリスクと、それらを回避するための対策について見ていきましょう。
#1 S3バケットの設定ミス
AWS Simple Storage Service(S3) (S3) は企業があらゆるデータを保存・取得できるため、多くのアプリケーションで広く利用されています。しかし、S3バケットを公開アクセス可能に誤設定することは、よくあるセキュリティ上の過ちです。2017年には、S3バケットの誤設定によりベライゾンの機密データが流出、数千人の顧客に影響が及びました。この種の流出は、開発者や管理者が誤ってS3バケットを一般公開状態にした場合に発生します。
回避方法:
組織は常にS3バケットの設定を確認すべきです。AWSは、公開アクセス可能なS3バケットや機密データの漏洩を検出するのに役立つAWS ConfigやAmazon Macieなどのツールを提供しています。
#2 EC2インスタンスへの無制限アクセス
Elastic Compute Cloud(EC2)はユーザーが仮想サーバーを起動することを可能にします。しかし、これらのインスタンスへのアクセス制御を不適切に設定すると、深刻な脆弱性につながる可能性があります。インターネット全体に対してSSHを開放したままにしておくことは典型的な例です。攻撃者はSSH認証情報をブルートフォース攻撃で破り、EC2インスタンスへの不正アクセスを得て、その後クラウド環境全体に侵入することが可能です。
回避方法:
セキュリティグループを使用し、既知のIPアドレスへのアクセスに制限することでSSHアクセスを制限します。セキュリティ強化のため、多要素認証(MFA)を導入し、パスワードベースのログインを無効化してください。保存データはAWS Key Management Service(KMS) を使用して保存データを暗号化します。
#3 不適切なアイデンティティおよびアクセス管理 (IAM) の設定
AWS Identity and Access Management (IAM) は、AWS リソースへのアクセス権を持つユーザーを管理するのに役立ちます。残念ながら、多くの組織は、過度に許可的なアクセス権を持つ IAM ロールを設定しています。例えば、読み取りアクセス権のみが必要なユーザーに管理者権限を与えると、攻撃対象領域が拡大します。
回避方法:
最小権限の原則を適用し、ユーザーやサービスに必要な権限のみを付与します。AWS IAM Access Analyzerで過度に許可されたポリシーを特定し、AWS CloudTrailでIAM設定の変更を監視します。
#4 不十分な暗号化
もう一つの重大なセキュリティリスクは、保存時および転送中の機密データの暗号化を怠ることです。暗号化がなければ、攻撃者は転送中のデータを傍受したり、クラウドストレージへの不正アクセスにより機密情報にアクセスしたりできます。安全でないパスワードはブルートフォース攻撃によって破られる可能性があります。現在では組織が活用できるパスワードレス認証ソリューションが数多く存在します。
回避方法:
AWSでは、保存データ暗号化のためのAWS Key Management Service(KMS)や、保存オブジェクト向けのAmazon S3暗号化などの暗号化機能を提供しています。すべての機密データは、TLS(転送中のデータ用)やAES-256(保存中のデータ用)といった業界標準プロトコルで暗号化されていることを確認してください。また、ユーザーはすべてのサービスやデバイスで同じパスワードを使用せず、頻繁にパスワードを変更または更新する必要があります。最適なパスワード管理手法を学び、適切な長さのパスワードを設定することも重要です。
#5 安全でない API および公開エンドポイント
多くの AWS サービスは、統合のために API を使用していますが、安全でない API は、システムを攻撃にさらす可能性があります。API に適切な認証やレート制限が欠けている場合、攻撃者はブルートフォース攻撃や分散型サービス拒否(DDoS) 攻撃を利用してそれを悪用することができます。
回避方法:
API認証の管理と使用クォータの適用には常にAPIゲートウェイを使用してください。AWS WAF(Webアプリケーションファイアウォール)は公開エンドポイントを悪意のあるトラフィックから保護できます。認証にはOAuthなどのセキュリティメカニズムを実装し、APIアクセスを監視するためのログ記録を有効化してください。
#6 セキュリティパッチの適用怠慢
クラウド環境もオンプレミスインフラと同様に、定期的な更新とパッチ適用が必要です。しかし、仮想マシン(VM)の脆弱性パッチを適用しない組織もあり、悪用リスクを高めています。未修正の脆弱性は、多くの注目すべき攻撃の原因となっています。
回避方法:
AWS Systems Manager Patch Managerを活用し、EC2インスタンスやその他のAWSリソース向けに自動パッチ適用を設定しましょう。これにより、OSやアプリケーションが常に最新の状態に保たれます。
#7 クラウドセキュリティ監視の不足
多くの組織はクラウド環境におけるリアルタイム監視に注力すべきです。これにより不正アクセス、データ流出、潜在的なセキュリティ侵害の検知が困難になります。継続的な監視がなければ、インシデントが数か月間気づかれない可能性があります。
回避方法:
AWSは、Amazon GuardDutyや AWS CloudTrail など、不審な活動を監視するためのツールを提供しています。これらのツールはリアルタイムのセキュリティアラートを提供し、脅威をより効果的に特定・対応するのに役立ちます。
#8 バックアップと災害復旧計画の不備
テストされていないバックアップや復旧プロセスといった単一障害点に依存すると、組織はデータ損失やサービス停止のリスクに晒されます。データ漏洩、ランサムウェア攻撃、または誤削除は予期せず発生する可能性があるため、災害復旧計画は極めて重要です。
回避方法:
Amazon S3とAmazon S3 Glacierを活用し、重要データを自動バックアップする。AWS Backupを導入してバックアップ管理を効率化する。災害復旧計画を定期的にテストし、危機発生時に期待通りに機能することを確認する。
#9 見落とされがちなIAMユーザー活動
IAMユーザーの認証情報は、注意深く管理されないと容易に侵害される可能性があります。組織はしばしば異常なユーザー活動を見落としがちですが、これは認証情報の侵害や内部脅威の早期兆候となる場合があります。IAMユーザー活動を監視しないことはセキュリティ上の隙間を残します。過度に許可的なIAMロールは攻撃対象領域を広げ、被害範囲を拡大させる可能性があります。
回避方法:
すべてのIAMユーザーに多要素認証(MFA)を有効化してください。AWS CloudTrailを使用してユーザー活動を監視し、アクセスログを頻繁に確認して不審な操作を検知しましょう。IAMアクセスキーは定期的にローテーションし、未使用キーは無効化してください。アクセスパターンを分析し、AWS IAMポリシーシミュレーターで頻繁にIAMポリシーをテストします。慎重に構築されたサービス制御ポリシー(SCP)を実装し、複数のアカウントにまたがるガードレールとアクション制限を設定してセキュリティを強化します。
CNAPPマーケットガイドFAQs
多くのクラウドコンピューティング利用者は、クラウド環境に対する外部からのセキュリティリスクに注目しがちですが、実際には最大のリスクは内部にあります。最大のセキュリティリスクは、設定ミスによってリソースが不正なユーザーにアクセス可能になってしまうことです。
本質的にそうとは限りません。前述の通り、クラウドプロバイダーにおける最も一般的なセキュリティ問題は、環境設定時に自ら生み出すものです。主要なクラウドプロバイダーはいずれも安全に設定可能です。したがって、「適切な」クラウドプロバイダーを選ぶことよりも、環境を安全に設定することを確実にすることがより重要です。
はい。ただし特定の状況下でのみ可能です。Amazonは、不正防止、法的要請への対応、またはデータ所有者である顧客の直接的な同意がある場合を除き、顧客データにアクセスしないと明記しています。