こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
近年、多くの企業でオンプレミス環境をパブリッククラウドに移行する動きが加速しています。サーバ運用からの解放、安定性やコストなど、クラウド移行による企業側のメリットは非常に多く、多くの企業が移行に踏み切るのは当然のことと言えます。しかし、パブリッククラウドへの移行に伴い懸念される事項があります。それはセキュリティ面です。手元に置いてあった環境をインターネット上に移行することによるリスクをどう対策すればよいのでしょうか?この記事では、世界でもっとも利用者が多い、Amazon Web Service(AWS)を利用した際に考えられるセキュリティリスクとその対策について触れていきます。
AWSにおけるセキュリティの脅威
まず、パブリッククラウドであるAWSを利用するにあたり懸念される事項はどのような点でしょうか?これまで自社内に設置されていたシステムを社外に設置することによる漠然とした不安はあるものの、具体的にどのような脅威があるのか?しっかり理解されている方はそれほど多くないのではないでしょうか?なにより対策を打つ前に、具体的にどのような脅威があるか?正しく理解することが大事になってきます。まず具体的にどのような脅威が発生するのか?お伝えしていきます。
リモート環境がゆえに懸念点は多い
ポイントとなるのは、需要な仕組み、データが社内からインターネット上の社外環境に移動するということです。これにより、社外からこれら重要リソースにアクセスしやすくなる、ということです。ここ10年で多くの企業でセキュリティ対策は進められてきました。今では社内ネットワークリソースに対するセキュリティはかなり強固になってきています。しかし、その環境から社外に移設するため、これらリソースに対するセキュリティ対策を1から検討しなければなりません。
また、これまでクローズド環境で利用してきた環境が、クラウド化されることによりインターネット越しに利用することになります。これにより通信内容の傍受やデータ搾取などの脅威にさらされるというあたらな課題が増えています。
想定される脅威とは?
それでは、この「リモート環境」化により具体的にどのような脅威が想定されるのでしょうか?実は、それほど新しい内容ではなく、セキュリティインシデントとしてこれまでも取り上げられてきた内容ばかりです。しかし、その発生要因は少し異なります。ポイントは「リモート環境」が紐づく内容であり、この点を中心に触れていきます。
アカウント乗っ取り
これは、社内のオンプレミス環境でもあった脅威ではありますが、その内容は少し異なります。これまで社内設置されていた際は、基本的に社外からのアクセスは困難な状況にありました。故にアカウントの乗っ取り以前にリソースにアクセスできない為、リスクとしては低い状況になっていました。
しかし、クラウド環境に設置したことで、リソースそのものにアクセスできるようになったことで、IDのクラックなどによるアカウント乗っ取りがしやすい環境となっているわけです。一方で、完全にアクセス制限してしまえば、自社内からのアクセスすらできなくなってしまいます。アクセス自体は確保しつつ、不正接続を検知、防止するという高度な対策を施す必要が出てきています。
データ漏洩
オンプレミス環境で利用している際は、社内環境で利用しており外部からの不正アクセス等によるデータ搾取はしづらい状況でした。しかし、クラウド上に設置することでそのリスクが増大しています。何より、インターネット経由でデータ送受信することで、通信内容を搾取される可能性が出てきました。データ漏洩の原因は、クラウドリソースに直接アクセスする方法だけではありません。通信途中のデータを搾取されるケースもあり得ます。
攻撃によるサーバ停止
クラウドリソースへの攻撃によるサーバ停止です。社外に公開されたことで外部からの攻撃を受けやすくなっていると言えます。従って、社内設置されている時と同じレベルで攻撃を阻止する必要があります。しかし、現代では攻撃手法も巧妙化し、さらに毎日のように新たな攻撃手法が発見されています。すべて防御するというより、攻撃されたことをいかに早く検知、ブロックするかがポイントとなります。
ウィルス感染によるシステム停止
ウィルス感染によるシステム停止です。社内のオンプレミス環境においても脅威でしたが、クラウド環境に設置することで、よりシビアな環境に置かれたと考えるべきです。こちらもリソースへの攻撃同様、毎日のように新しいウィルスが発見されています。単にVirus対策ソフトで防止するだけでは守り切れない為、いかに早く検知、ブロックできるかがポイントになります。
OSの脆弱性をついた攻撃
OSの脆弱性をついた攻撃になります。オンプレミス環境時もこの問題は脅威でしたが、ウィルス感染同様、よりシビアな環境になったと考えるべきです。対策として、脆弱性が発見される都度、即時パッチ対策などを行える体制を整える必要があります。
AWS利用時のメリット
クラウド環境を利用することで、多くのセキュリティリスクが発生することが分かりましたが、AWSに移行することは問題ないのでしょうか?
答えはYES、問題ありません。
その理由は、AWSはこれらリスクをあらかじめ理解し、その対策に必要な対策が準備されているからです。AWSを利用してこれらセキュリティリスクを低減することが可能です。
豊富なセキュリティ
AWSにはクラウド利用時に必要なセキュリティ対策をサービスメニューとしてラインナップしています。アカウント対策、データ漏洩防止、各種攻撃に対する対策を利用することができます。ユーザは、クラウド移行時にこれらセキュリティを利用することで、前にあげたセキュリティリスクを低減することが可能になります。
最新OS、パッチを常にサポート
AWSは多くのSaaSサービスを備えておりOS、アプリケーションのバージョンアップをAWS側が管理しています。問題発生時は、自動的に対策をおこなってくれます。また、IaaSにおいても問題発生時はパッチが適応されますので、ユーザ側は脆弱性対策運用から解放されます。この点は、オンプレミス環境から移行するメリットにもなります。
監視の充実
AWSは稼働やセキュリティの監視も充実しています。例えば攻撃を受けたアカウントに、不正アクセスが発生した場合、アラート発砲や自動的にアクセスをブロックなどを備えています。これらを利用することで、ユーザは不正アクセスなどのセキュリティインシデント監視から解放され、安心して利用できます。
AWSのセキュリティ
多彩なセキュリティを備えているAWSですが、具体的にどのようなメニューがあるのでしょうか?
- アクセス制御
まず1つ目は、クラウドリソースへのアクセス制御機能です。大きくは、2つの機能があります。
- IAM
クラウドリソースのアカウント管理、およびアクセス時のアカウント情報の暗号化などにより、不正アクセスからリソースを守ります。
- WAF
Webサーバ向けのアプリケーションファイアウォールです。通常のファイアウォールと異なるのは、通信の内容を把握、ウィルスや攻撃通信のふるまいを検知しブロックできる点です。
- 監視
AWSは、多くの監視ツールを備えています。クラウドリソースの稼働監視、脆弱性などを含めた監査機能、セキュリティ監視など問題があった場合にすぐ発見、対応できるようになっています。
- 暗号化、VPN
クラウドリソースと社内リソース間の通信を保護する為、AWSにはデータ暗号化機能やVPNが提供されています。これらを利用することで、インターネット経由で授受するデータを保護し、悪意を持ったものによるデータ搾取を防止します。
- アンチウィルス
AWSには、アンチウィルス機能も提供されています。クラウドリソース上で利用することで、ウィルス感染の脅威からリソースを保護します。
さいごに
AWSは想定される多くのセキュリティリスクに対する対策が施されており、ユーザは、セキュリティ対策について大きな負担を追うことなく安全に利用できる環境を手に入れられます。御社でもこれを機にAWS利用、環境移行を検討されてみてはいかがでしょうか?
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
