LoginSignup
3
0
@hiyoko-gunsouin株式会社ベガコーポレーション

AWS におけるクラウドセキュリティを強化するサービス

Last updated at Posted at 2024-03-26

概要

AWS でシステムを運用する上で、セキュリティ面の対策することは不可欠です。アーキテクチャのベストプラクティスである AWS Well-Architected の6つの柱にもセキュリティの柱が存在するほど、重要なものとして挙げられています。AWS ではそのためのサービスが複数存在するので、今回は主にクラウドセキュリティ全般を強化するために利用したことがある(利用している)サービスを紹介します。

一覧

1. AWS Identity and Access Management (IAM)
2. AWS Config
3. AWS CloudTrail
4. AWS Security Hub
5. Amazon GuardDuty
6. Amazon Detective
7. Amazon Inspector
8. AWS Organizations
9. AWS Control Tower

1. AWS Identity and Access Management (IAM)

  • 概要
    AWS リソースへのアクセスをセキュアにコントロールするサービス。ユーザーやグループを作成し、特定の AWS リソースへのアクセス許可を細かく設定できます。
    iam-how-it-works-diagram.04a2c4e4a1e8848155840676fa97ff2146d19012.png

・引用元
https://aws.amazon.com/jp/iam/

  • 特徴
    1. 管理対象
      ユーザ、グループ、ロールを管理する。
    2. IAM ユーザ
      IAM ユーザは AWS のリソースに対するアクセス権限を個々に設定できる。それらの権限は、アクセスキー、パスワード、マルチファクタ認証デバイスなどを用いて管理する。
    3. 権限のグループ化
      共有アクセスの管理をサポートしている。特定のユーザーまたはグループがあるリソースへアクセスする権限を持つことができる。
    4. 柔軟な権限設定
      設定できるポリシーは非常に柔軟で、特定のアクションのみを許可したり、特定のリソースのみに対するアクセスを制限できる。
    5. AWS サービスの統合
      AWS の全サービスと統合されており、1つの認証情報で自分の AWS アカウント全体を管理できる。
    6. アカウント間の連携
      AWS 組織の一部であり、複数のアカウントを横断する一貫したアクセス制御をサポートする。
    7. コンプライアンス関連
      強力な監査機能が備わっており、AWS の管理コンソール、AWS CLI、AWS API を通じて行われたリクエストを記録する。
    8. 一時認証情報による情報漏洩の防止
      Secure Token Service (STS) による一時的な認証をサポートし、特定のセッションのみにアクセス許可を付与し、その後は無効化する。
    9. コスト
      無料で利用可能。
    10. より強固な認証
      マルチファクタ認証 (MFA) をサポートしており、ユーザー名とパスワードだけでなく、ユーザーが所有している物理的なデバイスが必要となる。
    11. 認証情報の一元管理
      アイデンティティ連携をサポートしており、既存のアクティブディレクトリや Facebook、 Google などのアイデンティティプロバイダ (IDP) と連携可能。

2. AWS Config

  • 概要
    AWS Config は、AWS、オンプレミス、その他のクラウド上のリソースの設定と関係を継続的に評価、監査、評価します。
    Product-Page-Diagram_AWS-Config_Preventative-Proactive-Rules@2x.903337bdfa605eef1031213a125b9a8f94b39903.png

・引用元
https://aws.amazon.com/jp/config/

  • 特徴
    1. 設定変更の監視と記録
      AWS リソース設定の履歴を追跡し、保存する。設定が時間と共にどのように変化するかを確認できる。
    2. リソースのアクセシビリティと関係性
      リソースの関連性とその使用方法を視覚的に表示する。これにより、システムおよびサービスの構成を理解しやすくなる。
    3. セキュリティとコンプライアンスの監視
      定期的に AWS リソースを評価し、特定の慣行や規制基準に準拠しているかどうかを確認する。
    4. 構成変更のアラート
      AWS Config ルールを使用すると、構成変更に対してリアルタイムで通知を受け取れる。
    5. 自動設定バックアップ
      すべての設定項目を自動的にバックアップする。これにより、問題が発生した際に以前の状態に簡単に戻せる。
    6. 組織全体の設定管理
      すべてのアカウントとリージョンにわたる AWS リソースの設定を一元的に表示および管理できる。

3. AWS CloudTrail

  • 概要
    AWS CloudTrail は、AWS インフラストラクチャ全体のアカウントアクティビティをモニタリングして記録し、ストレージ、分析、および修復アクションをコントロールできます。
    product-page-diagram_AWS-CloudTrail_HIW.feb63815c1869399371b4b9cc1ae00e78ed9e67f.png

・引用元
https://aws.amazon.com/jp/config/

  • 特徴
    1. アクティビティの追跡
      AWS アカウント内で行われるアクションを追跡し、そのログを保存する。
    2. セキュリティ分析
      異常な活動を検出し、分析するために CloudTrail のログを使用できる。
    3. コンプライアンスの補助
      IT 監査のコンプライアンス要件を満たすために CloudTrail のログを使用できる。
    4. S3 との統合
      ログは S3 バケットに直接保存可能。
    5. Lambda との連携
      特定の API 呼び出しや特定のイベントパターンを検出した際に自動的にアラートを出したり、修正アクションの実行が可能。

4. AWS Security Hub

  • 概要
    AWS Security Hub は、セキュリティのベストプラクティスのチェックを行い、アラートを集約し、自動修復を可能にするクラウドセキュリティ体制管理サービスです。
    Product-Page-Diagram_AWS-Security-Hub@2x.7e7c0483e9ce1507af2e9214247a1825a27d6bde.png

・引用元
https://aws.amazon.com/jp/security-hub/

  • 特徴
    1. セキュリティチェックの自動化
      AWS 独自のセキュリティチェックリストや業界標準のセキュリティ基準の要件を満たすための自動検査。
    2. 統合ダッシュボード
      AWS 環境全体のセキュリティ状態を表示する統合ダッシュボードを提供する。これにより、ユーザーは迅速にセキュリティに関連する問題を確認し、必要な対策を講じることができる。
    3. 検出と優先付け
      セキュリティ警告を識別し、問題の深刻度に基づいて優先順位をつける。これにより、ユーザーはセキュリティの脅威に対応するための適切なステップを取ることができる。
    4. 他の AWS サービスとの統合
      他の AWS セキュリティサービス(GuardDuty、Inspector、Macie など)や外部のセキュリティツールと統合可能。これにより、ユーザーは一貫性のあるセキュリティ対策を導入できる。
    5. 適応型レスポンス
      あらかじめ定義されたアクションを利用して本番環境での利用に応じたセキュリティ対策を適用できる。
    6. 独自のインサイトと分析
      ユーザーはダッシュボードを使用して独自のセキュリティメトリクスや分析を作成できる。
    7. 適用範囲
      親となる AWS アカウントから複数の AWS アカウントとリージョンにわたって自動検査し、結果を集約できる。

5. Amazon GuardDuty

  • 概要
    Amazon GuardDuty は、AWS アカウントとワークロードを継続的にモニタリングして悪意のあるアクティビティがないかを確認し、可視化と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービスです。

・引用元
https://aws.amazon.com/jp/guardduty/

  • 特徴
    1. 逐次監視
      VPC Flow Logs、CloudTrail イベントログ、DNS ログなどの AWS のデータソースを監視し、潜在的な脅威や異常な行動を探す。
    2. マネージド
      マネージド型のサービスであり、サーバーやエージェントの設定、メンテナンスを行う必要がない。
    3. リアルタイム性
      常にアクティブで、アカウントやワークロードの保護する。
    4. 高度な脅威インテリジェンス
      AWS のセキュリティ、インテリジェンスコミュニティの公開フィードを使用して、既知の脅威指標を確認する。
    5. 検知時の連携
      異常を検出した際、GuardDuty は CloudWatch イベント経由で他の AWS サービスやパートナーソリューションと連携可能。
    6. グローバル有効化
      一度有効化することで、すべてのリージョンで迅速に検出する。多くのリージョンにまたがる環境であっても一元管理が可能。
    7. シームレスなスケーリング
      サービスは自動的にトラフィック量やリソースの変動に応じてスケーリングされる。
    8. 自動アップデート
      データベースは常時更新され、最新の脅威を検出するためのパターンを利用可能。これにより、既知および新たな脅威の検出率を向上している。

6. Amazon Detective

  • 概要
    Amazon Detective は調査プロセスを簡素化し、セキュリティチームがより迅速かつ効果的な調査を実施できるようにします。Amazon Detective の事前に構築されたデータの集計、要約、コンテキストによって、起こりうるセキュリティ問題の性質と範囲を迅速に分析および判断するのに役立ちます。
    Product-Page-Diagram_Amazon-Detective@2x.257ee0bd351d2a3bdb513149ad14b0bcebe982d9.png

・引用元
https://aws.amazon.com/jp/detective/

  • 特徴
    1. データ分析・インシデント調査
      セキュリティ関連のデータを自動的に収集、整理し、これらのデータを分析してセキュリティインシデントの調査を容易にする。
    2. 時間的な視点
      最大1年間のデータを保持し、その間のユーザーアクティビティやリソース使用状況を視覚的にパターン化し、振る舞いを観測できる。
    3. 可視性の向上
      ネットワークアクティビティ、ユーザーアクティビティ、または API の呼び出しに対する可視性を向上させる。
    4. 要素間の相互関連性
      データを相互に関連付けることで、異常を特定しやすくなる。
    5. グラフベースのデータ分析
      内部的にグラフベースのデータモデルを使用しており、これにより大量のデータ間での関係を迅速に展開し、詳細な情報を提供する。
    6. マネージド
      マネージド型のサービスであり、サーバーやエージェントの設定、メンテナンスを行う必要がない。
    7. 他の AWS サービスとの統合
      Security Hub、GuardDuty、IAM などの AWS サービスと直接統合する。
    8. 行動分析
      ユーザーアクティビティとリソース使用状況を分析し、不審な行動を検出する。

7. Amazon Inspector

  • 概要
    Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークのエクスポージャーがないか継続的に AWS ワークロードをスキャンする自動脆弱性管理サービスです。
    Amazon-Inspector_HIW@2x.c26d455cb7e4e947c5cb2f9a5e0ab0238a445227.png

・引用元
https://aws.amazon.com/jp/inspector/

  • 特徴
    1. セキュリティ評価
      AWS 環境内のリソース(ECR コンテナイメージ、EC2 インスタンス、Lambda)を評価し、推奨されるセキュリティ設定、一般的な脆弱性、または任意の不適切な設定について通知する。
    2. 自動化
      自動的にセキュリティ評価し、セキュリティ分析のオンデマンドまたは定期的な実行が可能。
    3. ホストレベルの評価
      AWS Systems Manager Agent (SSM Agent) を EC2 インスタンスにインストールすることで、詳細なセキュリティ評価が行われる。
    4. 統合レポート
      詳細な結果レポートを提供し、評価の結果を簡単に理解し対処できる。
    5. 合規性
      多くのセキュリティ基準と対応しており、企業ガバナンス、リスク管理、コンプライアンス全般に役立つ。

8. AWS Organizations

  • 概要
    AWS Organizations では、追加料金なしで新しい AWS アカウントを作成できます。組織内のアカウントを使用すると、リソースの割り当て、アカウントのグループ化、アカウントまたはグループへのガバナンスポリシーの適用を簡単に行うことができます。
    organizations-HIW.1870c83be9fdfc55680172a1861080a91b700fff.png

・引用元
https://aws.amazon.com/jp/organizations/

  • 特徴
    1. 組織的な管理
      組織全体の AWS アカウントを一元管理し、連携して制御する。アカウントの階層構造を作成し各アカウントに対する権限を詳細に設定できる。
    2. ポリシーの制御
      一元管理かつ組織全体にわたってポリシーを適用可能。各アカウントに対して、特定の AWS サービスやアクションの使用を制限するサービス制御ポリシーを作成できる。
    3. AWS サービスの統合
      他の AWS サービスともシームレスに統合されている。例えば Security Hub の場合は新規アカウントの追加と同時に有効化ができる。
    4. 一括請求
      すべての AWS アカウントの料金を1つの支払い方法でまとめられるため、請求処理を単純化する。
    5. セキュリティとコンプライアンス
      組織全体のセキュリティとコンプライアンス要件を効率的に満たすのに役立つ。
    6. コスト
      AWS Organizations 自体の利用料金は無料。ただし、組織内で使用される AWS の各サービスには通常の料金が発生する。

9. AWS Control Tower

  • 概要
    AWS Control Tower は、組織のセキュリティとコンプライアンスのニーズを維持しながら、お客様に代わって複数の AWS サービスを調整します。
    Product-Page-Diagram_AWS-Control-Tower.9281926228bb2900c76b4b6d85b2819efc078978.png

・引用元
https://aws.amazon.com/jp/controltower/

  • 特徴
    1. セキュリティとコンプライアンスの自動化
      AWS Well-Architected Framework のベストプラクティスに基づく組織全体のセキュリティ、運用、およびコンプライアンスのルールを自動的に設定する。
    2. 組織全体の視覚化と監視
      一元的なダッシュボードを提供し、アカウントの設定と使用状況、セキュリティとコンプライアンスアラートを監視するための組織全体の視覚化を提供する。
    3. AWS 環境のセットアップの簡素化
      新しい AWS 組織のセットアップとアカウントのプロビジョニングを簡単にする。
    4. ワークロードリスクの低減
      ハードウェア障害やデータセンターの問題に対するリスクを軽減するためのマルチリージョン対応機能も提供している。
    5. カスタムガバナンスのルール
      特定のセキュリティ要件や業務要件に応じてカスタムのガバナンスのルールを設定する機能も提供する。このルールは、Control Tower のガードレールと呼ばれ、不適切なアクションを停止または警告する。

最後に

今回は AWS を利用する上で基礎となるセキュリティサービスを紹介しました。これ以外にもサービスは数多く存在し、利用シーンによっては非常に強力なセキュリティ機能を提供するものもあります。これらについては随時更新、ないしは新たに記事を作成する予定です。また、個別のサービスを深掘りした記事も別途作成予定です。

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0