クラウドセキュリティ関連の初期設定

AWSやGCPを導入する際に必要なセキュリティ関連の初期設定とは?

AWS(Amazon Web Services)やGCP(Google Cloud Platform)といったパブリッククラウドの利用を検討する際に、情報漏洩やサイバー攻撃といった、セキュリティ面に不安がありなかなか検討が進まない、といったことがあると思います。GCPやAWSの導入に向けて、どのようなことを気を付ければいいのでしょうか。

実は、AWS,GCPともに、セキュリティとして気を付けるべきことについては公開されています。

  • AWSのセキュリティベストプラクティス
    https://d1.awsstatic.com/whitepapers/ja_JP/Security/AWS_Security_Best_Practices.pdf
  • GCP セキュリティ ホワイトペーパー
    https://cloud.google.com/security/overview/whitepaper?hl=ja

ただし、これらのファイルは非常に長く、専門的で読みにくい点もあると思います。本記事でセキュリティについて最低限気を付けるべきことを、以下の2フェーズに分けて記載していきます。

  • アカウント開設
  • サービス公開後

それではGCP,AWSそれぞれのセキュリティのベストプラクティスについて見ていきましょう。

アカウント開設までに必要なこととは?

アカウント開設完了までにセキュリティ面で必要なことについて、記載していきます。

  • 責任範囲の確認
    まずは、責任範囲の確認です。AWSやGCPのようなパブリッククラウドでは、「責任共有モデル」を採用し、パブリッククラウド提供者側と、利用者側で負う責任の範囲を定めています。例えば、データセンターなどの施設はパブリッククラウド提供者が管理しているため、利用者側で不法侵入や監視等の対策を行うなどの責任を負う必要がありません。逆に、EC2やGCEのようなIaaSについてはOSより上のレイヤは利用者の責任となり、定期的なパッチ当て等のセキュリティ対策をする必要があります。このように、どの部分について対策を実施すればよいか、事前に明確にしておく必要があります。

※責任共有モデルの例。AWS公式(https://aws.amazon.com/jp/compliance/shared-responsibility-model/)より抜粋

  • 多要素認証
    アカウント開設後に恐れることとしては、アカウントの乗っ取りです。そのためには多要素認証の設定が必要です。多要素認証とは、ログイン時に、2つ以上の”要素”によって行う認証をおこなうことで、辞書型攻撃や総当たり攻撃で不正ログインをされてしまうリスクを減らす認証方式です。例えば金融機関のアプリ等にログインする際に、SMSなどを利用し、数字を入力する、といったご経験があるかと思いますが、これはID/パスワードのほかにSMSの番号でも認証を行って、不正ログインを防いでいます。GCPやAWSでも、多要素認証を有効化することで不正ログインのリスクを大幅に減らすことが可能です。

  • 操作のロギング
    アカウントを作成した後は、操作をロギングを有効化しておく必要があります。これにより、万が一外部からの不正アクセスによりアカウントが乗っ取られ、何らかの操作が行われてしまっても、すべて操作をロギングしておくことができます。これにより、攻撃内容の把握や、のちの訴訟に備える(フォレンジックを行う)ことができるようになります。また、操作ログ自体を監視し、不審なアクセスが行われた段階で気づけるようにして、攻撃そのものを抑える、といったことも必要になってきます。GCPであればCloud Audit Logs、AWSであればCloudTrailを有効化することで、操作のロギングが開始されます。
 

サービス公開後に必要な対策とは?

サービス公開前後にセキュリティ面で必要なことについて、記載していきます。

  • アプリケーションのセキュリティ対策
    導入したシステムへの攻撃に備えるために、WAF(Web Application Firewall)やDDos対策のサービスを導入し、攻撃に備えましょう。AWSであれば、AWS WAFとAWS Shield、GCPであればCloud Armorを使うことにより、低コストかつ素早く、サイバー攻撃に備えることができます。ただし、AWS WAFやCloud Armorは運用面で高度なセキュリティに関する知識が要求されます。したがって、あまり手間をかけずに非常に高性能なサイバー攻撃に備える場合は、サードパーティのWAFなどを検討するといいでしょう。
  • サーバのマルウェア対策(EDR)
    AWSやGCPでは、2021年3月現在、マルウェア対策用のサービスは公開されていません。したがって、サードパーティのSaaSなどを利用したマルウェア対策を行い、ウイルスに感染した場合に備えるといいでしょう。

パブリッククラウドを安全に使うためには?

パブリッククラウドの利用はIT利用するビジネスを行う上で、ビジネススピードの高速化や低コスト化を実現できます。適切に、安全に利用するためには、アカウント作成からシステム導入まで、各フェーズで必要なことを行い、パブリッククラウドを安全に利用しましょう。また、要件によってはサードパーティの製品も積極的に利用し、より強固なセキュリティ施策を実施してください。