AWSのセキュリティを考える上で知っておきたい「責任共有モデル」とは?

こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。

オンプレミスのWebサイトやシステムをクラウドに移行する際に、特に注意深く取り組むべきことはセキュリティ対策です。以前は、クラウドのセキュリティが漠然と不安視されがちでしたが、近年ではクラウドへの信頼感が大幅に増しており、信頼性でクラウドを選んだというケースも多くなってきました。

しかし、クラウド利用者がどのようなセキュリティに取り組むべきかは、具体的にはあまり知られておらず、適切な対策を行わないとセキュリティを保つことができないことに理解がされていない場合もあるようです。Amazon Web Services(AWS)では、内部の詳細な情報は利用者にも公開はされてはいません。それには理由があり、 AWSが「責任共有モデル」 の考え方を採用しているためです。

責任共有モデルとは

Amazon Web Services(AWS)では当初より、セキュリティは 「責任共有モデル」 を採用していると提示されてきました。「責任共有モデル」 とは、AWSと利用者それぞれの責任範囲を明確にして、責任を分担するという考え方です。AWSは「クラウドのセキュリティに対する責任」があり、利用者は「クラウド内のセキュリティに対する責任」があるとされます。このように、それぞれの責任範囲が明確になっていれば、各々は自分の責任範囲に集中することができます。ではAWSと利用者には、どのように責任範囲の分担があるのでしょうか。

AWSの責任

AWS側としては、ホストオペレーティングシステム、仮想化レイヤー、サービスが運用されている施設の物理的なセキュリティなどを、責任をもって運用・管理・制御します。AWSのクラウド内部システムが公開されていない理由は、DCやハードウエアのセキュリティについては、AWS側が全面的に責任を持つという 「責任共有モデル」 の方針があるためです。

利用者の責任

利用者側としては、ゲストオペレーティングシステム (更新とセキュリティパッチを含む)、関連アプリケーションソフトウェア、AWSが提供するセキュリティグループとファイアウォールの設定などに責任があります。

主な利用者責任の具体的な内容と、対策方法などをご紹介します。

OSやミドルウェアの脆弱性対応

OSやミドルウェアの脆弱性対応は、利用者の責任範囲です。

OSに新しいバグが発見されると、セキュリティホールができます。セキュリティホールがあるOSをそのまま放置しておくと、不正アクセスや情報漏洩が起こる可能性が高まってしまいます。Amazon EC2インスタンスのパッケージアップデートは定期的に行い、常に最新の状態に保つ必要があります。そのような脆弱性対応は、利用者側が責任を持って対応します。

具体的な脆弱性対応としては、

  • AWSに脆弱性スキャンの実施を申請後、脆弱性スキャンを実施
  • 脆弱性を確認して、対応を検討
  • パッケージアップデート

などになります。

適切なネットワーク設定

ネットワークの設定については、利用者側での責任範囲です。

インターネット接続を目的としたIGWの設定についてや、SG、NACLの設定方法などは利用者の判断で設定する必要があります。

アプリケーション

アプリケーションレベルでのセキュリティは、利用者の責任範囲になります。

AWS側では、静的なプロトコル単位でのフィルターやIPパケットフィルターなど、静的なフィルターでセキュリティ対応を行っています。しかしサイバー攻撃は年々高度化して、多様な攻撃を行うようになってきました。アプリケーションの多くがHTTPやHTTPSプロトコルを使用しており、またアプリケーションが動的にポート番号を変えて通信しているため、静的なセキュリティのみでは守り切れなくなっています。静的なフィルターでは守れない部分については、利用者がセキュリティを確保していく必要があります。

データの暗号化

データの暗号化は利用者側の責任範囲ですが、データ暗号化にはAWSのKMS(Key Management Service)というサービスが使えます。KMSは、EC2やS3バケット、 EBSなどいろいろなサービスの暗号化が可能になる設定です。システムを暗号化して安全に管理するためには必須の設定とも言えます。

AWSのセキュリティ対策におけるメリット

AWSのEC2はIaaS( Infrastracture as a Service )型であり、インフラを提供するタイプのクラウドサービスです。そのため、インフラに関しては完全にAWSの責任となります。つまりインフラに関しては、完全にAWSが管理します。そのためオンプレミスの場合のように、すべてのセキュリティを自社で管理する必要がなくなるというメリットがあります。

さらに、AWSはPCI DSSなどのコンプライアンスプログラムにも取り組んでおり、セキュリティ管理が目的どおりに実施・運用されていることを検証する第三者認証も複数取得しています。これらの取り組みは、各自で行うと大変に手間と時間のかかる取り組みです。AWSを利用することで、AWSが取り組んだセキュリティ対策や認証などをそのまま活用することができます。費用面においても、これらの管理や対策にかかるコストを削減できるため、AWS利用は経済的にもメリットがあります。

さいごに

AWSでのセキュリティ対策を考える際には、まずは「責任共有モデル」の内容をよく理解しましょう。セキュリティを保てるか不安があるかもしれませんが、AWSから利用者へのサポートは充実しています。クラウド内は利用者側の責任範囲としていますが、利用者がセキュリティ環境を実現できるように、AWSからさまざまな機能・セキュリティサービス・アップデートが提供されています。AWSが見つけた脆弱性情報についても、利用者に速報で情報提供されるため、必要な対応を素早くとることができます。

コーポレートサイトクラウドでセキュアに

コーポレートサイトをクラウドでセキュアに クロジカガイドブック

無料ではじめるサーバー管理
クロジカガイドブック

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • クロジカサーバー管理の主な機能
  • 導入事例
  • 導入までの流れ

詳しい資料をご覧いただけます

クロジカサーバー管理のサービス内容を記載した資料をダウンロードできます。
クロジカの機能や事例が分かる
資料ダウンロード