BLOG

2020/01/08

AWS セキュリティの利点

【目次】

1. AWSセキュリティの利点
  a) 限定された責任
  b) 圧倒的な安さ
  c) 自動的な拡張
  d) 最新技術の容易な導入
  e) 専門部隊による監視
2. AWSで使えるセキュリティ対策サービス
  a) GuardDuty
  b) AWS WAF、AWS Shield
  c) Inspector
  d) KMS、CloudHSM
3. まとめ

 

  1. 1. AWSセキュリティの利点
    このブログには、AWSセキュリティの利点について説明し、AWSにおけるセキュリティ施策は、オンプレミスと違ってどのような利点を持っているのか、詳しく説明していきます。

    1. a) 限定された責任
      オンプレミスと違い、AWSでは責任共有モデル※というものがあり、AWSを利用するユーザーと、AWSで責任を持つ範囲が明示されています。例えば、オンプレミスでは、データセンターやマシンのセキュリティについても考慮する必要がありますが、AWSではAWSが責任を持つので、データセンターのセキュリティを考える必要がありません。しかも、AWS側でISO27001やPCIDSSといった、世界標準のセキュリティ認証※を取得しており、ユーザ側で認証を取得する必要はありません。したがって、ユーザは安全なアプリケーション設計などに力を入れることができます。

       ※AWS 責任共有モデルは以下に詳細が記載されています。
       https://aws.amazon.com/jp/compliance/shared-responsibility-model/
        
       ※AWSが取得しているセキュリティ認証は以下のURLで確認ができます。
       https://aws.amazon.com/jp/compliance/programs/

       

    2. b) 圧倒的な安さ
      AWSでは様々なセキュリティ対策を、マネージドサービスとして安く導入することができます。例えば、WAFを導入する場合について、オンプレミスとAWSで比較を行います。
       

      初期費用 運用コスト 調達期間
      オンプレミス 数十万円~数千万円 ユーザにて負担 即時~数週間
      AWS 0円 AWSにて負担 即時

       

      WAFを一例として出しましたが、DDos対策なども同様なことが言えます。このように、AWSでセキュリティ対策を導入する場合、時間、費用ともに、オンプレミスと比べて圧倒的に圧縮することができます。これはAWSセキュリティの大きな利点です。

       

    3. c) 自動的な拡張
      オンプレミスでセキュリティ製品を導入したときに、導入時と比べてサービスのトラフィック量が増えて追加の製品が必要になったり、必要なライセンス数が増えたりし、苦労したことはないでしょうか。また、製品追加やライセンス適用で一時的にサービスが使えなくなるリスクもあります。一方で、AWSで導入したセキュリティ対策は、自動的に拡張が行われます。トラフィック量がふえたら自動で拡張しますし、追加でライセンスが必要になる、ということもありません(料金は必要になります)。したがって、オンプレミスと違ってAWSでは拡張がスムーズに行われます。

       

    4. d) 最新技術の容易な導入
      AWSで導入したセキュリティ対策は、最新技術・最新のセキュリティ対策が大量に使用されています。例えば、GuardDutyというサービスでは、機械学習が利用されていますし、AWS WAFでは最新のシグネチャが提供され、脆弱性に対する攻撃を防御することができます。これらの最新技術は、オンプレミスで導入すると複数の製品を組み合わせ、多大な初期費用と運用コストが必要になります。しかしAWSでは、これらの最新技術を数クリックで、しかも安価で利用可能になります。

       

    5. e) 専門部隊による監視
      AWSでは、セキュリティ専門チームによるセキュリティインシデントの監視が365日間ずっと行われており、万が一利用者がセキュリティインシデントに気づくことがなくても、メール等による通知が行われます。たとえば、ルートユーザのアクセスキー・シークレットキーをGitなどに誤ってアップロードしてしまった場合も、AWSが監視をしており、後日通知されるようになっています。AWSを利用するだけで、世界最高峰のセキュリティ専門チームによる監視を受けることができるのは、AWSセキュリティの利点です。

     

  2. 2. AWSで使えるセキュリティ対策サービス
    AWSのセキュリティ関連のサービスで、マネージメントコンソールを開くと下記のような項目が選択・利用できます。 
    ここでは、AWSを利用する上で、セキュリティ対策として非常によく使用されるサービスや、使用すると大きな利点があるサービスを抜粋して記載します。

    1. a) GuardDuty
      GuardDutyは、セキュリティの脅威を検出し、通知してくれるサービスです。1クリックで利用可能になり、価格も10ドル以下で済みます。どのようにセキュリティの脅威を検出するかというと、AWSアカウント内の各種ログを自動で取得し、機械学習により分析を行い、脅威を検出します。書き出してみるとすごい機能ですが、このようなサービスを月10ドル以下で利用できるとこは素晴らしいことです。有効化していない場合は、ぜひとも有効化することをおすすめします。

       

    2. b) AWS WAF、AWS Shield
      AWSにおけるアプリケーションへの攻撃やDDos攻撃を防止してくれるサービスです。初期費用0円でWAFやDDos対策を導入することができます。クラウドはインターネットに晒されているため、外部からの攻撃を受けやすいという特徴がありますが、これらのサービスを使って簡単に防御を行うことができます。

       

    3. c) Inspector
      AWS上に構築したサーバの脆弱性診断を行います。サーバに対してエージェント(=ソフトウェア)を導入する必要がありますが、現状公開されているすべての脆弱性について、サーバで問題ないかを調査し、レポートしてくれます。オンプレミスではソフトウェア管理台帳などを作成し目視で脆弱性診断を行うことがあり、抜け漏れ等のリスクがありますが、AWSでは自動で簡単に脆弱性診断をおこなうことができ、抜け漏れ等もありません。

       

    4. d) KMS、CloudHSM
      AWSにおける暗号化鍵の管理サービスです。オンプレミスで暗号化鍵の管理を行うとなると、専用の端末を購入し、設置場所やアクセス権の管理などを行う必要があるため多大なコストがかかります。AWSではそのような運用を行う必要がありません。AWS側で鍵ローテーションなどの運用、管理を自動で行ってくれます。CloudHSMは、初期費用が高額ですが、KMSよりもさらなる厳重な鍵管理が可能です。要件によって使い分けを行いましょう。

     

  3. 3. まとめ
    AWSセキュリティの利点について、以下のことをいうことができます。
    ・オンプレミスと比べて、ユーザ側の責任範囲が狭いため、ほかの対策に注力できる。
    ・セキュリティ対策の運用・拡張はAWS側で行われることが多い。
    ・専門のセキュリティ部隊によるサポートがある。
    ・安価で最新技術を導入できる。
    このように、オンプレミスと比べて様々な利点を享受することができます。AWSとしても、セキュリティは最優先事項(https://aws.amazon.com/jp/security/を参照)として、利用者が安全に利用できるように様々なサービスが考えられています。利用者もこれらのサービスを理解し、利用していくことは、大きな利点になります。