ビジネスにおいて、awsの利用や運用は、重要性が増しています。awsシステムに依存する割合が高まれば高まるほど重視して考えたいのは、セキュリティです。セキュリティの重要性は、過去に起きた事例から教訓を学ぶことができます。
こちらでは、運用面での失敗事例をご紹介するとともに、行うべきセキュリティの方向性について取り上げます。
セキュリティ対策の必要性
awsの運用で、セキュリティを重視する企業は増加しています。セキュリティ対策の重要性は、過去に起きた事故事例を見ると理解できます。aws運用に際して、セキュリティ対策を怠ったことで発生した事故は多数ありますが、その中でも、awsの設定ミスがもとで1億6,000万人以上のパーソナルデータが漏洩した事例は学ぶべき点が多いものです。
この事故は、ある企業が旧ストレージサーバーからawsへデータ移行を行っていた時に発生しました。
データ移行に際し、ストレージにバックアップを取りながらデータ移行を行っていたわけですが、バックアップストレージが誰でもアクセスできる状態になっていたことが、事故原因でした。誰でもアクセス可能な公開設定になっており、通常は閉じて運用するはずのネットワークポートが解放されていたことが事故につながりました。
この状態でSSRF攻撃を受けて、EC2サーバーが不正アクセスを許す結果になり、大規模な情報漏洩に至りました。なお、SSRF攻撃とは、通常ではアクセスできない閉じられたネットワークにあるサーバーに対して攻撃する手法の一つです。
この事故の場合、公開状態にあったストレージを経由して、内部サーバーにアクセスが可能になったことで、情報が流出してしまいました。情報漏洩が起こった企業への社会の目は厳しくなっています。情報漏洩が発覚し、経営陣が謝罪に追い込まれたり、責任をとって辞任する場面を見ると、セキュリティ対策の重要性は明らかです。
ここで考えたいのは、aws運用時のセキュリティに対する向き合い方です。自社でセキュリティ対策を行っている場合は、最新の情報に精通し、セキュリティホールをなくす努力の継続が求められるでしょう。
ベンダーに委託している企業は、プロに任せているから安心と考えるのではなく、自らセキュリティに穴をあけていないかなど、きちんとチェックする体制を構築したいものです。セキュリティ対策を放置している企業は、今すぐにセキュリティチェックや体制構築を急ぐ必要があります。
クラウド環境でセキュリティを確保するには
awsの運用はクラウド上で行うので、常にセキュリティの不安が付きまといますが、不可能ではありません。現に、awsは世界190カ国以上で導入され、クラウドサービスの中ではトップシェアを占めています。使用する企業も、特にセキュリティを重視する金融機関などに広がっており、2020年には、日本の総務省もawsの利用に踏み切りました。
総務省のケースでは、政府共通のプラットフォーム構築を目的とし、セキュリティ強化とコスト削減の両方を実現できるとしてaws導入を決めたことからも、セキュリティ確保は可能と考えるのは妥当です。クラウド環境でセキュリティ確保のポイントとなるのは、専用の仮想ネットワークの使用です。
awsでは、仮想プライベートクラウドであるAmazon VPCを使い、開かれたインターネット通信を可能にするパブリックサブネットと、特定のネットワークからの通信のみを可能にするプライベートサブネットの2種類を構築できます。
外部からの通信が可能なサブネットには自社のウェブサーバーなどを置き、社内ネットワークは非公開のサブネットに置くという具合にです。さらにaws運用では、インスタンスと呼ばれる仮想サーバーごとにセキュリティグループを設定できるでしょう。
awsは、運用上はセキュリティ確保が可能ですが、あくまで設定が正しくされていることが条件となります。正しい設定を行うためには、セキュリティの理解を重ね、awsのセキュリティ設定の知識を得るとともに、ミスを起こさせないルール作りが必要です。
セキュリティを考えるうえでの注意事項
awsを運用するにあたり、セキュリティ上、これだけは押さえておきたいというポイントがいくつかあります。その一つが、出所不明なamiを使わないということです。awsの運用では、必ずと言っていいほどec2を利用しますが、ec2の設定運用を簡便に行うには、amiの使用が欠かせません。
amiは誰でも公開できるので、悪意のあるソフトウェアが含まれている可能性があります。amiの提供元を確かめ、信頼できるベンダーなどが提供するものだけを使うことが重要です。加えて、セキュリティグループの設定は慎重に行いたいものです。
セキュリティグループは、いわばファイアウォールである防護壁の役割を果たします。グルーピングを適切に行わないと、不正アクセスを助長することになりかねないので、正しい権限設定は必須です。
aws運用のセキュリティを向上させるもの
aws運用において、セキュリティの懸念を引き起こすものと、それを阻止するソリューションについても知っておきたいものです。まず一つとして、攻撃者がのっとったパソコンやサーバーから不正アクセスをしたり、大量のパケットを送るDDos攻撃を防ぐものとして、aws shieldが挙げられます。
こちらは無償で自動適用されるので安心です。高度なDDos攻撃に対応するものとしてaws shield advancedがありますが、こちらは有償で、有効化の設定が必要です。悪意のあるユーザーは、攻撃を仕掛ける前に、あらかじめ開いているポートがあるかどうかを調べるポートスキャンを行うことが一般的ですが、セキュリティグループを設定しておくことで対処できるでしょう。
不正な通信を監視するamazon guardduty、脆弱性のあるアプリケーションを検知するフートスキャン、マルウェア対策に役立つアンチウィルス・アンチスパムソフトなどの導入も進めたいものです。
セキュリティには自然災害を念頭に置くことも必要
セキュリティというと、悪意ある人物からの攻撃をイメージしがちですが、自然災害で事業が継続できなくなることも、深刻なセキュリティ懸念といえます。日本は、台風や水害、地震などが多い災害大国なので、実際に災害が起きた場合のIT関連の被害が甚大になります。
awsでは、自然災害を想定してデータセンターを複数設置しており、もともと耐障害性の強いシステムを構築できていると考えられます。それでも、自社にとって重要性の高いサービスは、セキュリティレベルを上げるなどの設定が必要となるでしょう。
aws運用でのセキュリティの重要性
awsは企業の間で幅広く使われ、依存度の高いシステムとなっており、セキュリティ対策の重要性は増しています。情報漏洩が発生した事例や、その後に向けられる社会の目を考えると、適切な設定やチェック体制、不正アクセスを防ぐソリューションの導入などが必要だと理解できます。
日本は災害が多い国なので、自然災害の脅威もセキュリティ懸念として認識する必要があります。
参考リンク>aws保守
AWS監視・運用 マネージドクラウド | CloudCREW | GMOクラウド株式会社