2020年もそろそろ終わろうとしていますが、2020年はAWSと大きく向き合った一年でした。
これまで色々なクラウドサービスに触れてきましたが、AWSをがっつり触ってみて、セキュリティ観点でAWSイイね!と感動しました。(もちろんセキュリティ以外もいいですが!)
なぜかというと、AWSにはWAFやファイアウォール等の直接的に攻撃を防ぐサービスだけでなく、GuardDuty等の攻撃検知ツールやTrusted Advisor、AWS Config、SecurityHub等の自己診断ツールが存在しているからです。
これらのツールがあることで、セキュリティ専門業者に丸々お願いしなくても、ある程度は自前でセキュリティに関する運用ができます。セキュリティについては極めて専門性の高い分野ですので、100%自前で運用することはなかなか難しいですが、自前と外部との間で最適なバランスを取ることで、セキュリティ対策としての投資対効果を高めることが可能です。
せっかくですので、具体的にどのようなサービスが存在するのか紹介します。
AWS Trusted Advisor
https://aws.amazon.com/jp/premiumsupport/technology/trusted-advisor/
AWSセキュリティ対策のはじめの一歩としては、まずはこれだと思います。
上の画面イメージを見るとわかりますが、Trusted Advisorはセキュリティの診断だけでなく、コストやパフォーマンス等のAWS全般の状況について診断してくれます。定期的あるいは手動で診断をしてくれるので、定期的にこちらにアクセス、あるいは通知設定をしておけばいいので簡単です。
指摘事項が出た場合、どのリソースが問題なのか、何を改善すればいいのか具体的に書かれているので、かなり助かります。最悪わからなかったらサポートに問い合わせすれば、迅速に的確なアドバイスをくれます。
赤信号は必ず、黄色信号も極力対応するだけで、セキュリティ対策としては大きな一歩だと思います。
AWS Well-Architected Tool
https://aws.amazon.com/jp/well-architected-tool/
こちらは自動診断ツールではなく、アンケートに答えるかたちでAWSの利用状況の課題が見えるツールです。あくまでも自身でポチポチ作業する必要があるので、運用は若干手間ですが、適切に運用すれば新たな気付きを得られます。AWSの膨大な利用実績にもとづいたベストプラクティスが無料で得られるので、つかわない理由は無いです。
運用の流れとしては、このような感じになります。
- 項目毎にアンケート記入。
- AWS側の基準で、どの項目が高優先度かをトリアージ。
- AWS提供の改善方法を確認。
- 実際に改善を行う。
- 改善結果を踏まえて、最初に戻る。
こちらもよくわからなければサポートに問い合わせすれば、何かしらのアドバイスがもらえるかもしれません。
Amazon GuardDuty
https://aws.amazon.com/jp/guardduty/
こちらはAWS全般で悪意のあるアクティビティや不正な動作を継続的にモニタリングし、アラートを上げてくれるサービスです。ネットワークアクセスやデータアクセス、アカウント動作を総合的に監視してくれ、一画面に結果が集約され、CloudWatch等と連携することで通知してくれるので、運用性ピカイチです。何も考えずに有効化しておくべきサービスの一つです。
実際に使ってみると、海外からのポートスキャンや自身のサーバからの怪しい通信を検知してくれるので助かります。(当然、偽陽性である誤検知もありますが)
AWS Config
https://aws.amazon.com/jp/config/
こちらはAWSの各種設定の漏れや不備をチェックしてくれるツールです。あらかじめ設定のあるべき(ルール)を定義しておくことで、そのルールから逸脱する設定がされた場合に知らせてくれます。こちらも他のサービス同様、CloudWatch等と連携することで通知設定が可能です。
例えば、EBSの暗号化について、設定必須というルールを定義しておけば、万が一EBSの暗号化設定が漏れた場合にアラートがあがります。
設定作業は簡単ですので、こちらも何も考えずに有効化しておくべきサービスだと思います。
Amazon Macie
https://aws.amazon.com/jp/macie/
こちらはS3のバケットの設定をチェックしてくれたり、中に入っているデータ(オブジェクト)に機密情報が含まれていないかチェックしてくれるツールです。
前者のS3のバケットの設定チェックはもちろん使えますが、後者の機密情報のチェックは驚愕です。
チェックを実行すると、S3内のオブジェクトをスキャンし、機械学習のアルゴリズムを使って、機密情報(個人情報や財務情報等)が含まれていないかチェックしてくれます。実際に試して見ると、誤検知もたまにありますが、ほぼほぼ機密情報の存在を結果として出力してくれます。
S3は設定を誤ると意図せず外部公開されるリスクがあり、かつその中に意図せず個人情報が含まれてしまっていることが重なると最悪の場合、個人情報漏洩となってしまいます。そのリスクを抑える狙いで、ぜひ有効にしておきたいサービスです。(S3のオブジェクト件数に比例するので、コスト面での懸念があり、絶対有効化すべきとは言いづらいですが・・・)
AWS Security Hub
https://aws.amazon.com/jp/security-hub/
最後はこちらです。こちらはセキュリティに関する各種状況やアラートを一元的に管理できるツールです。ここまで紹介してきたツールを個別に運用すると、ツールを頻繁に切り替える必要があり、それなりの手間が発生しますが、このツールでそれが解消できます。
Security Hubは、AWSのベストプラクティスや業界標準のチェック項目に従って自動的にセキュリティチェックを行ってくれるので、指摘事項に対応するだけでも飛躍的にセキュリティレベルを引き上げることができます。
私も最近使い始めたので、まだまだ使いこなせていないですが、十分に使い倒してみたいと思います。
他にもまだまだセキュリティに関するサービスはありますので、情報まとまり次第、こちらに反映していきます。
そして、今回はAWSにスポットをあわせた話でしたが、他のクラウドサービスではどの程度このようなサービスが提供されているか気になりますので、別の機会に調査してみたいと思います。