AWSのセキュリティ対策は大丈夫？オンプレミスとの違いやセキュリティ関連のAWSサービスを紹介！

クラウド導入を検討する際によく懸念事項として挙げられるのが、セキュリティ問題。セキュリティ上のリスクは、会社の信頼の失墜を招く可能性もあるため、正しい知識を持っておきたいところです。今回の記事では、AWSのセキュリティ対策について解説していきます。

AWSのセキュリティは大丈夫？

多くの企業から支持を集めているAWSですが、AWSはセキュリティに関してどのような対策を実施しているのでしょうか。

AWSのセキュリティについて

まず、クラウドはオンプレミスよりもセキュリティの面で心配という声もありますが、必ずしもクラウドサービスのほうがセキュリティに問題を抱えているわけではありません。AWSはさまざまなセキュリティ対策を講じており、クラウドサービスの中でも高いセキュリティを誇っています。実際、さまざまな大企業がAWSを導入しているほか、官公庁でのAWS導入も進んでいることからも、信頼性の高さがうかがえるでしょう。

また、実際にAWSは提供しているサービスのほとんどで、ISOおよびクラウドサービスのセキュリティ成熟度を評価するCSAスター認定を受けています。つまり、国際的に認められた規格および実施基準に準拠しているということになります。

責任共有モデルとは

AWSのセキュリティに関連してまず知っておくべきポイントが「責任共有モデル」です。責任共有モデルとは、一言でいえば、AWS側と利用者側で責任の範囲を分ける、という考え方です。AWS側がクラウドサービスのインフラ面などに対して責任を負うのに対し、利用者側は主にクラウド内のデータやOS、ネットワークなどに対して責任を負います。なお、AWSの中でもサービスによって責任範囲は変わります。AWS側がセキュリティに関する責任を全面的に負うわけではないことを理解したうえで、利用者がどの部分のセキュリティ対策を実施すべきか把握しておきましょう。

また、この方法はAWSに限った話ではありません。事業者と利用者で責任の範囲を分けるやり方は、多くのクラウドサービスで採用されています。

責任共有モデルについてより詳しく知りたい方は、以下の記事をあわせてご参照ください。

AWS活用法|AWSに必要なセキュリティ対策とは？ AWSの責任共有モデルの解説

クラウドとオンプレミスのセキュリティ面における違い

続いて、クラウドとオンプレミスのセキュリティ面での違いを解説していきます。

セキュリティ対策にかかるコスト

状況にもよりますが、コスト面で見るとクラウドのほうがコストを抑えられるケースも少なくありません。オンプレミスの場合、維持管理のためにシステムの定期的な改修が必要になります。

AWSであれば、Amazon FSx やAmazon RDS に代表されるようなマネージドサービスはOSやシステムのアップデートをAWS側が管理してくれるため、オンプレミスよりも保守で管理するべき範囲が狭まり、負担も小さくなります。

災害発生時の信頼性

災害対策として、複数のデータセンターをまたいだ構成を組むといった、可用性を高める対策がとりやすいのもメリットの1つです。AWSでは、世界のさまざまな地域（リージョン）に複数のAZ（アベイラビリティーゾーン）と呼ばれるデータセンター群が点在しています。同じリージョン内のAZをまたいだ構成にするだけで、災害が発生した際のリスクを下げることができます。オンプレミスで同様の構成にしようとすれば多大なコストがかかります。これは、クラウドならではのメリットといえるでしょう。

人材面

オンプレミスで自社独自のシステムのメンテナンスを続ける場合、専門性の高いエンジニアが必要になるケースも少なくありません。AWSなら知識を持っているエンジニアの数も圧倒的に多いため、人材の確保もしやすく、人件費が高くなりすぎることも起こりづらくなっています。

AWSのセキュリティ対策に関連するサービス

最後に、AWSのセキュリティ対策に関するサービスを、機能ごとに紹介していきます。

IDとアクセス管理

AWSには、さまざまな認証サービスが用意されています。代表的なサービスとして挙げられるのが、「AWS　IAM（Identity and Access Management）」です。AWS IAMは、AWSの各種サービスの権限を管理するサービスで、利用者はAWS IAMを用いて誰が何をできるのかを設定します。「AWS IAM アイデンティティセンター」を利用すれば、SSO認証も実現できます。

セキュリティリスクの検出

日常のセキュリティチェックでは、チェックの自動化や、セキュリティアラートの一元化をしてくれる「AWS Security Hub」が役に立ちます。また、「Amazon Inspector」を利用すれば、EC2インスタンスなどを自動的に検出し、ソフトウェアの脆弱性などを自動で発見してくれます。

ネットワークとアプリケーションの保護

「Amazon Firewall Manager」は、AWS上のファイアウォールの設定・管理を一元化して行えるサービスです。また、DDoS（Distributed Denial of Service）攻撃への対策としては、「AWS Shield」が有効です。DDoS攻撃とは、特定のサーバーに対して大量にアクセスデータを送付してサーバーの機能を停止させるサイバー攻撃のことです。AWS Shieldは、AWSで実行しているアプリケーションをDDoS攻撃から保護してくれます。

サイバー攻撃への対策としては、他にも「AWS WAF（Web Application Firewall）」「AWS GuardDuty」「AWS Inspector」などのサービスがあります。AWS WAFは、DDoS攻撃やSQLインジェクションなど、Webアプリケーションへの攻撃から保護してくれます。AWS GuardDutyは、AWSアカウントのセキュリティ状況をモニタリングし、通知してくれるサービスです。具体的には、ネットワークとアカウントの操作ログをモニタリング・機械学習し、悪意があると判断した通信や、それによるAWSアカウントの異常行動などを検知してくれます。AWS InspectorはEC2向けの脆弱性診断サービスです。

データの保護

データ保護のサービスとしては、「AWS Key Management Service (AWS KMS)」などがあります。AWS KMSは、データの暗号化やデータのデジタル署名などを行えるサービスです。AWS上で格納するテキストファイルの暗号化・復号化ができるため、クラウド上で機密情報を扱う際に役立ちます。

まとめ

今回紹介したAWSのセキュリティ関連のサービスは、あくまで一部であり、AWSはこれ以外にもさまざまなセキュリティサービスを提供しています。ただ、十分なセキュリティレベルに達するためには、責任共有モデルをはじめ、AWSにおけるセキュリティの概念を正しく理解し、状況に合わせて適切なサービスを利用していかなければなりません。自社でのセキュリティ対策に不安を感じている場合は、当社までお気軽にご相談ください。