AWSのセキュリティ対策はどうする?導入すべき3つのサービス
2021.12.21
AWSのセキュリティ対策ちゃんとしてる?
にゃんこ師匠
ミツオカ初めてのクラウドサービスなんですけど、やっぱり最大手が安心かと思って
にゃんこ師匠ミツオカにゃんこ師匠ええい、AWS のセキュリティ対策をしっかり叩き込んでやるからにゃ!
AWS のセキュリティサービス3選
「7pay 事件」や「ドコモ口座被害」…
いつの時代も、セキュリティに関する事故が多いですよね。
いずれも、サービス管理者のセキュリティ対策に対する認識の甘さがもたらした問題といえるでしょう。
もちろん、クラウドサービスにおいても、セキュリティ対策はとても大切です。
プロバイダーに任せていれば安心、なんて油断は禁物。
むしろ、クラウドサービスの方が、オンプレミス環境と比べて、セキュリティ管理を厳しくしなければならないこともあるのです。
この記事では、AWS でのセキュリティ対策について説明します!
AWS が採用している「責任共有モデル」って?
AWS は、「責任共有モデル」を採用しています。
これは、下記の AWS 公式リファレンスから引用した、責任共有モデルの図です。
【責任共有モデルとは何か、を改めて考える|Amazon Web Services ブログ】
https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/
クラウド側とユーザー双方が責任を持つ
要は、「クラウド提供側と利用者側で、セキュリティに対する責任を共有し、対策を行う」ということです。
一例として、AWS のサービス「Amazon S3(Amazon Simple Storage Service)」における責任共有モデルを考えてみましょう。
「Amazon S3」はストレージサービスで、AWS ユーザーが自由にデータなどを格納できます。
「Amazon S3」にデータを適切に格納していたにも関わらず、データが消失したり改ざんされたりした場合は、AWS 側の責任範囲となります。
ここでポイントとなるのは、「適切に格納していたかどうか」です。
ユーザーが AWS で行うべき対策を怠っていたことが原因で、データを失ってしまった場合は、ユーザー側の責任となります。
正しくサービスを運用する心がけが大事
責任共有モデルは、表現こそ少し小難しいですが、至極当たり前の考え方です。
「データセンターのサーバが熱暴走を起こしてサーバがダウンした」など、クラウドサービス側に明らかな非があるケースも確かにあります。
しかし、クラウドサービスを利用していて発生する問題の大半は、ユーザー側の責任です。
クラウドサービス側に何もかも丸投げするのではなく、「クラウドサービスだからこそ、セキュリティ対策は万全に!」という心構えで利用してください。
にゃんこ師匠ミツオカAWS で導入するべき3つのサービス
さて、それでは、実際に AWS を利用する時は、どんなセキュリティ対策を行えばいいのでしょうか?
おすすめ順に、以下の3つのサービスを紹介していきます。
- Amazon GuardDuty
- AWS inspector
- AWS Shield
①万能の脅威検知「Amazon GuardDuty」
AWS を利用するなら、「Amazon GuardDuty」の導入は必須と言っても過言ではありません。
これは、継続的な機械学習で、攻撃などの脅威を検知してくれるサービスです。
具体的には、AWS に対する以下のような脅威が対象です。
- 漏洩したクレデンシャル(認証)情報の利用
- 不正ログイン
- ポートスキャン
- ブルートフォースアタック
- マイニング
利用料は AWS 利用料の0.5%~1%前後
「Amazon GuardDuty」の利用料は、大半の AWS サービスと同じく従量課金制です。
概算すると、AWS 全体の利用料金の「0.5%~1%」と言われています。
つまり、ひと月の AWS 利用料が10万円だとすると、500円~1000円となりますね。
高いと感じる人もいるかもしれませんが、セキュリティ上のリスクを大幅に減らせるのですから、決して無駄な出費ではないと思います。
②脆弱性を診断する「AWS inspector」
AWS には、「EC2インスタンス」という仮想サーバがあります。
この仮想サーバに対して脆弱性診断をしてくれるのが、「AWS inspector」です。
Amazon GuardDuty が「実際に」発生した事象を検知するのに対し、AWS inspector は「事前に」リスクの有無を診断します。
ただし、診断対象のメインは EC2インスタンスであり、そこまで幅広く診断してくれるわけではありません。
あくまで、脆弱性診断ツールの一つとして考えておきましょう。
月2回程度の利用なら、ほぼ無料
「AWS inspector」の利用料は、以下の2つの要素によって決まります。
- 評価対象の EC2インスタンスの数
- 各自が選んだルールパッケージのタイプ
基本的な利用料は、「250回のインスタンス評価で、0.15 USD」です。
(※2020年11月現在)
また、評価回数が増えるごとに割引される仕組みになっています。
月2回ほどの定期的なプラットフォーム診断に使うだけなら、利用料はほぼかからないと思って大丈夫です。
脆弱性診断ツールを特に検討していない人も、「AWS inspector」には初期無料枠もあるので、一度利用してみることをおすすめします。
③DDos 攻撃に対応「AWS Shield」
「AWS Shield」は、マネージドの DDos 保護サービスです。
以下の2つのバージョンがあります。
| スタンダード版(無料) ※デフォルトで有効 | インフラストラクチャを標的とした攻撃から保護 |
| アドバンスト版(追加料金) | アプリケーションを標的とした攻撃から保護 |
企業の EC サイトなど、DDos 攻撃に対する対策を万全にしたい大規模システムを運営しているなら、アドバンスト版がおすすめです。
追加料金が必要なだけあり、手厚いサポートもつくため、導入しても損はありません。
アドバンスト版は月額基本料+利用料が必要
「AWS Shiled」アドバンスト版は、月額料金に加え、+αで利用料金もかかります。
月額料金は、2020年11月段階で「3,000 USD」となっています。
先述のサービスに比べると、やや割高に感じてしまうかもしれませんね…
にゃんこ師匠ミツオカさいごに
以上、AWS のセキュリティ対策のおすすめサービスを紹介しました。
特に、「Amazon GuardDuty」はコスパも高く、AWS を利用するならマスト級のサービスです。
どんなサービスでも、安全に利用するには、セキュリティ対策はやりすぎるということはありません。
AWS の特性や各サービスの特性を理解し、セキュリティ上のリスクをなくしていきましょう!
こちらの記事もオススメ!
さいごの一言
にゃんこ師匠ミツオカにゃんこ師匠セキュリティ対策は自助努力が必須じゃぞ!
ミツオカ…でも、この3つ入れてたら、結局 Amazon がなんとかしてくれるってことですよね?
にゃんこ師匠書いた人はこんな人
- 「好きを仕事にするエンジニア集団」の(株)ライトコードです!
ライトコードは、福岡、東京、大阪の3拠点で事業展開するIT企業です。
現在は、国内を代表する大手IT企業を取引先にもち、ITシステムの受託事業が中心。
いずれも直取引で、月間PV数1億を超えるWebサービスのシステム開発・運営、インフラの構築・運用に携わっています。
システム開発依頼・お見積もり大歓迎!
また、現在「WEBエンジニア」「モバイルエンジニア」「営業」「WEBデザイナー」「WEBディレクター」を積極採用中です!
インターンや新卒採用も行っております。
以下よりご応募をお待ちしております!
https://rightcode.co.jp/recruit
ITエンタメ10月 13, 2023Netflixの成功はレコメンドエンジン?- ライトコードの日常8月 30, 2023退職者の最終出社日に密着してみた!
- ITエンタメ8月 3, 2023世界初の量産型ポータブルコンピュータを開発したのに倒産!?アダム・オズボーン
- ITエンタメ7月 14, 2023【クリス・ワンストラス】GitHubが出来るまでとソフトウェアの未来
関連記事
採用情報
\ あの有名サービスに参画!? /
バックエンドエンジニア
\ クリエイティブの最前線 /
フロントエンドエンジニア
\ 世界を変える…! /
Androidエンジニア
\ みんなが使うアプリを創る /
iOSエンジニア
