近年では、自社のWebサイトをオンプレミスからAWSへ移行する企業が増えてきています。これからAWSへの移行を検討する場合、セキュリティ対策は避けて通れない検討課題です。本記事では、AWSのセキュリティ対策を考えるにあたり、責任共有モデルという考え方やAWSで提供されるセキュリティサービス、AWSとオンプレミスのセキュリティの違いなども交えて解説します。
この記事のポイント
- AWSには責任共有モデルという考え方がある
- AWSが負う責任範囲はクラウドサービスを提供するインフラ基盤
- ユーザーが負う責任範囲は、Webアプリケーションなどのセキュリティ対策
- AWSの柔軟性とコスト効率のメリットは大きいが運用コストも大きい
AWS(Amazon Web Services)は、2006年にAmazonが開始したクラウドサービスです。高度なセキュリティは専門家により構築され、柔軟性のあるシステムを実現しています。AWSは情報セキュリティに重点を置き、その範囲では十分な対策が講じられているのが特徴です。大手クラウドサービスの中でも、AWSのセキュリティは非常に高い水準で提供されているといえます。
オンプレミスからクラウドへ移行することで、「セキュリティ対策を事業者に任せられる」というメリットが期待できます。しかし、インフラからWebアプリケーションまでのセキュリティ対策・強化を全て任せられるというものではありません。
では、どこまでのセキュリティ対策を事業者に任せることができるのでしょうか。それは、AWSのセキュリティに対する「責任共有モデル」という考え方で基準を知ることが可能です。
AWSが負う責任範囲は、ハードウェアやネットワーク機器、それらを収容・設置するデータセンターなど、クラウドサービスを提供するインフラ基盤です。主に、以下のようなものが挙げられます。
- リージョン
- アベイラビリティゾーン
- エッジロケーション
- ハードウェア
- AWSグローバルインフラストラクチャー
- コンピュート
- ストレージ
- データベース
- ネットワーキング
- ソフトウェア
一方、ユーザーが負う責任範囲は、AWSが提供するクラウドインフラの上に構築する、Webアプリケーションなどのセキュリティ対策です。主に、以下のようなものが挙げられます。
- クライアント側のデータ暗号化およびデータ整合性の認証
- サーバー側の暗号化
- ネットワークトラフィックの保護
- OS、ネットワーク、ファイアウォールの構成
- プラットフォーム、アプリケーション、IDとアクセス管理
- ユーザーが管理すべきデータ
このように、オンプレミスからAWSに移行したからといって、全てのセキュリティ対策をAWSに任せられるわけではありません。AWSへ移行した後も、ユーザーの責任範囲にある事項については、自社の責任でセキュリティ対策が必要なのです。
AWSへ自社サーバーを移行する際に把握しておかなければならないのが、オンプレミスとAWSのセキュリティの違いです。セキュリティの観点から、AWSとオンプレミスを比較検討する場合まず、自社独自のセキュリティ対策が必要な場合はオンプレミスでのセキュリティ対策が向いています。なぜなら、オンプレミスのセキュリティならば、自社独自にカスタマイズすることが可能だからです。
ただし、フルカスタマイズが可能な分、独自の仕様を構築するための初期導入や、それを維持するための運用には高いコストがかかるというデメリットがあります。この点、AWSは提供される機能・サービスの範囲で利用するため、オンプレミスよりもコストは抑えられると言えるでしょう。
ただし、どちらも常に最新のセキュリティ情報を追うこと、最新の対策をし続けることには、専門のスキルはもちろん、工数や人的リソースなどの大きなコストがかかることに変わりはありません。
どちらが良いかは自社のニーズやリソース、扱うデータなどによりますが、柔軟性とコスト効率から判断すれば、多くの場合AWSのセキュリティサービスを利用した方がメリットを享受できるでしょう。
AWSで利用可能なセキュリティ対策関連のサービスは下記の通りです。
Amazon Inspectorは、ソフトウェアの脆弱性を検出し、ネットワークセキュリティリスクを自動的にチェックします。セキュリティ上の問題を特定して、アラートの発行やレポートの出力などを実行できます。
Amazon GuardDutyは、AWSアカウント内で不審な動作を自動的に検出して可視化し、不正アクセスを検知します。機械学習技術を使用して、不審なログインやアクセスパターンを識別し、警告やアラートを発行します。
Amazon CloudFrontは、CDN(Contents Delivery Network)機能を提供するサービスです。不正なアクセスやDDoS攻撃などからWebアプリケーションを保護します。
AWS Configは、AWSリソースの構成管理を行うサービスです。設定変更を定期的にチェックしログを取得して保存します。何がいつ変更されたのかを管理することで、想定外の設定変更などを把握し、セキュリティリスクをいち早く察知できます。
AWS WAFとは、AWSが提供するクラウド型のWAFです。WAFは「Web Application Firewall」の略称で、Webアプリケーションをサイバー攻撃から保護します。Webアプリケーションへの通信を監視して、不審な通信をブロックすることが可能です。
その他、さまざまなセキュリティサービスが用意されています。自社のサーバー運用に適したセキュリティサービスを上手に適用して運営できれば、セキュリティを高めつつコストを抑えることも可能ですが、それには上述したとおり高い専門知識とスキルが必要であり、クラウドだからといって簡単に導入・維持はできません。
ここまで見てきたように、AWSでセキュリティを高めるにも、維持するにも高い専門スキルが必要ですが、AWSベースで提供される「クラウドCMS」を利用することで、AWSのメリットだけを享受できる可能性があります。
Webサイトを運営する場合、多くの場合CMS(コンテンツ管理システム)が使われますが、クラウドCMSはサーバーとCMS、そして多くの場合セキュリティも一体で提供されるため、CMSクラウド化することは、Webサイトのセキュリティのアウトソース化にもなるのです。
こちらもご覧ください。
CMSをAWSへ移行する際の基礎知識やAWSのメリット、注意点やサービスの種類を解説
クラウドCMSの一つであるShareWithは、AWSを基盤としており、AWSのセキュリティサービスが最適な形で設定、運用されています。セキュリティ対策も、標準プランで最高レベルのものが提供されます。
また、「ShareWith群」は、サイトの運営形態に応じた管理方式が選択でき、複数のWebサイトをまとめて移行させる場合も安心です。
AWSのセキュリティは、責任共有モデルという考え方により、AWS側の責任範囲とユーザー側の責任範囲が明確なため、責任の所在がわかりやすく、ユーザーが自社でどこまでセキュリティ対策をすべきか判断しやすいといえます。ただし、自社の条件に合ったセキュリティレベルを実現・運用できるようにするには、高い専門知識としっかりとした運用が必要です。
WebサーバーをAWSへ移行するならば、AWSを基盤としているクラウドCMSという選択肢もあります。
クラウドCMSのShareWithなら、AWSへの移行もセキュリティ対策もワンストップで実現でき、運用負担も最小限になります。
多数のサイト群を
AWS環境のCMSへ移行するなら
