情シス1,000名に聞く、クラウドセキュリティ対策の実態調査

従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」について、実態や今の課題を聞きました。

資料をダウンロードする

近年、多くの企業でAWSをはじめとするクラウドサービスの活用が進んでいます。

一方で、クラウド環境の設定不備やアクセス権限の管理ミスなどを原因とした、不正アクセスや情報漏洩といったセキュリティインシデントも発生しています。

AWSを安全に利用するためには、AWSと利用者（企業・組織）がそれぞれ担うセキュリティ上の責任範囲を定めた「責任共有モデル」を正しく理解することが重要です。

本記事では、AWSの責任共有モデルの考え方をはじめ、AWS利用時に発生しやすいセキュリティリスクや、セキュリティ対策に役立つAWSの主要サービスについて解説します。

AWS環境のセキュリティ対策に不安がある方や、自社環境に潜むリスクを把握したい担当者の方は、ぜひ参考にしてください。

AWSセキュリティとは

AWS（Amazon Web Services）とは、Amazonが提供するクラウドサービスの総称です。

具体的には、仮想サーバーの「Amazon Elastic Compute Cloud（Amazon EC2）」、オブジェクトストレージの「Amazon Simple Storage Service（Amazon S3）」、クラウドデータベースの「Amazon Aurora」など、さまざまなサービスを提供しています。

AWSでは200を超えるサービスが提供されており、企業規模や業種を問わず幅広く利用されています。

また、高いセキュリティ水準を備えたクラウド基盤を提供していることも、AWSの大きな特長の一つです。

AWSのセキュリティが高く評価されている理由の一つに、データセンターの厳格な管理体制があります。

クラウドサービスはインターネット経由で利用されますが、実際のシステムやデータは物理的なデータセンターで運用されています。そのためAWSでは、データセンターへのアクセスを厳格に制御しており、限られた認可済みの担当者のみが入館できます。

他にも、データセンターには監視システムや入退室管理の仕組みが導入されており、複数のセキュリティ対策によって物理的な安全性が確保されています。

さらにAWSは、ISO/IEC 27001をはじめ、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701などの国際的な認証・規格への準拠にも取り組んでおり、グローバルレベルでのセキュリティとコンプライアンス体制を整備しています。

このように、AWSはデータセンターやクラウド基盤そのもののセキュリティ対策を実施しています。

一方で、AWS上で利用するシステムやデータ、アクセス権限の管理などについては、利用者側にも責任があります。

そのため、AWSを安全に利用するには、AWSが担う責任と利用者が担う責任を正しく理解し、適切なセキュリティ対策を実施することが重要です。

次の見出しで、AWSと利用者側それぞれが担う責任領域について確認していきましょう。

AWSの責任共有モデル

前章で説明したように、AWSではクラウド基盤そのもののセキュリティ対策はAWSが担いますが、クラウド上で利用するシステムやデータの管理については利用者側の責任となります。

この考え方は「責任共有モデル（Shared Responsibility Model）」と呼ばれており、AWSのセキュリティを理解するうえで重要な考え方の一つです。

責任共有モデルでは、AWSが「クラウドのセキュリティ（Security of the Cloud）」、利用者が「クラウドにおけるセキュリティ（Security in the Cloud）」を担います。

AWSは、AWSクラウドを構成するインフラストラクチャの保護に責任を負っています。

具体的には、データセンター、ハードウェア、ネットワーク、仮想化基盤など、クラウドサービスを提供するための基盤部分が対象です。

一方、利用者はAWS上で運用するシステムやデータの保護に責任を負います。

例えば、IAMによるアクセス権限管理、セキュリティグループなどのネットワーク設定、OSやミドルウェアの設定・更新、アプリケーションの管理、データの保護などが該当します。

参考：責任共有モデル – Amazon Web Services (AWS)」

そのため、AWSを安全に利用するには、責任共有モデルを正しく理解し、自社が担う責任範囲に対して適切なセキュリティ対策や運用管理を実施することが重要です。

AWSで発生しやすいセキュリティリスク

前述の通り、AWSを安全に利用するためには、利用者側の責任範囲を正しく理解し、適切に設定・運用することが重要です。

AWS自体は高いセキュリティ水準を備えたクラウド基盤を提供していますが、利用者側の設定や運用に不備があると、情報漏洩や不正アクセスなどのリスクが生じる可能性があります。

ここでは、AWS利用時に特に注意したいセキュリティリスクを4つ紹介します。

それぞれ詳しく見ていきましょう。

設定ミスによる情報漏洩

AWS利用時に特に多いセキュリティリスクの一つが、設定ミスによる情報漏洩です。

代表的な事例として、Amazon Simple Storage Service（Amazon S3）の設定不備によって、本来は社内のみで利用するはずのデータが外部から閲覧可能な状態になってしまうケースが挙げられます。

Amazon S3では、IAMポリシーやバケットポリシー、アクセスコントロールリスト（ACL）など、複数の方法でアクセス権限を管理できますが、その分管理が複雑化しやすいです。

そのため、設定内容を十分に理解しないまま運用すると、意図せずデータを公開してしまうリスクがあります。

例えば、アクセス制御の設定ミスによって、機密情報や個人情報を含むファイルが第三者から閲覧できる状態になると、情報漏洩やコンプライアンス違反につながる可能性があります。

このようなリスクを防ぐためには、アクセス権限の設定内容を定期的に確認するとともに、不要な公開設定が行われていないか継続的に監査することが重要です。

過剰な権限付与による不正アクセス

AWSでは、AWSリソースへのアクセス権限を管理するサービスとして「AWS Identity and Access Management（IAM）」を提供しています。

IAMを利用することで、ユーザーやグループごとにAWSリソースへのアクセス権限を細かく設定でき、必要な操作のみを許可することが可能です。

一方で、利便性を優先して必要以上の権限を付与してしまうと、セキュリティリスクが高まります。

例えば、「AdministratorAccess」のような広範な権限を必要のないユーザーにも付与している場合、そのアカウントが不正利用された際に、AWS環境全体へ影響が及ぶ可能性があります。

また、退職者や異動者のアカウントが適切に管理されていない場合も、不正アクセスや情報漏洩のリスクにつながります。

こうしたリスクを防ぐためには、「必要なユーザーに必要最小限の権限のみを付与する」という最小権限の原則（Principle of Least Privilege）に基づいてアクセス権限を管理することが重要です。

セキュリティグループの設定不備による不正アクセス

AWSのセキュリティグループとは、Amazon EC2などのAWSリソースに対する通信を制御する仮想ファイアウォールです。

セキュリティグループでは、リソースに対して受信する通信を制御する「インバウンドルール」と、リソースから送信する通信を制御する「アウトバウンドルール」を設定できます。

これにより、必要な通信のみを許可し、不正なアクセスを防止します。

しかし、セキュリティグループの設定に不備があると、不正アクセスのリスクが高まります。

例えば、管理用ポートであるSSH（22番ポート）やRDP（3389番ポート）を「0.0.0.0/0」（すべてのIPアドレス）に対して公開している場合、インターネット上の誰からでもアクセスを試行できる状態となり、攻撃対象となる可能性があります。

また、不要なポートを開放したまま運用していたり、アクセス元のIPアドレスを適切に制限していなかったりすると、外部からの不正アクセスを許してしまう恐れがあります。

このようなリスクを防ぐためには、業務上必要な通信のみを許可し、定期的にセキュリティグループの設定を見直すことが重要です。

セキュリティパッチ未適用によるマルウェア感染

AWSを安全に利用するためには、OSやミドルウェア、アプリケーションに対して定期的に更新プログラムやセキュリティパッチを適用することが重要です。

セキュリティパッチには、発見された脆弱性を修正する役割があります。

このパッチの適用を後回しにすると、既知の脆弱性が放置された状態となり、攻撃者に悪用されるリスクが高まります。

特にAmazon EC2を利用している場合、OSやミドルウェアの管理は利用者側の責任となるため、適切なパッチ管理が欠かせません。

脆弱性を悪用されると、不正アクセスやマルウェア感染、情報漏洩などのセキュリティインシデントにつながる可能性があります。

こうしたリスクを低減するためには、定期的なパッチ適用に加え、脆弱性管理やセキュリティ監視を継続的に実施することが重要です。

AWSセキュリティのベストプラクティス

AWS環境のセキュリティを維持するためには、責任共有モデルを踏まえたうえで、利用者側が継続的にセキュリティ対策を実施することが重要です。

AWSセキュリティを維持するための主なセキュリティ対策として、以下が挙げられます。

これらの対策を継続的に実施することで、設定ミスや運用上の不備によるセキュリティリスクを低減できます。

また、AWSでは利用者のセキュリティ対策を支援するために、アクセス管理やログ監査、脅威検知、脆弱性管理などを行うさまざまなセキュリティサービスを提供しています。

次章では、AWSで利用できる代表的なセキュリティサービスについて解説します。

AWSのセキュリティサービス

AWSでは、ユーザーが高いセキュリティレベルを満たすために、さまざまなセキュリティサービスが提供されています。

これらのサービスは、前述した「責任共有モデル」においてユーザー側が責任をもつ、アクセス権限やコンプライアンス管理、データ保護において有効です。

ここではAWSが提供する代表的なセキュリティサービスを8つ紹介します。

より詳細にサービス内容が知りたい方は、公式サイトをご確認ください。

1．AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) は、AWS環境におけるユーザーやアクセス権限を管理するサービスです。

IAMを活用することで、AWSアカウントやAWSリソースに対して「誰が」「どのリソースに」「どのような操作を行えるか」を細かく制御できます。

具体的には以下のような機能で構成されています。

IAMでは、アクセス権限を「ポリシー」と呼ばれるルールとして定義し、ユーザーやグループ、ロールに割り当てます。

例えば、Amazon S3にファイルをアップロードする業務を担当するユーザーには、ファイルのアップロードに必要な権限のみを付与できます。

一方で、閲覧のみを許可したいユーザーには読み取り権限のみを付与するなど、業務内容に応じた細かなアクセス制御が可能です。

このようにIAMを活用することで、「必要なユーザーに必要な権限のみを付与する」という最小権限の原則に基づいたアクセス制御を実現できます。

これにより、過剰な権限付与による不正アクセスや誤操作のリスクを低減できます。

参考：IAM とは – AWS Identity and Access Management

2．Amazon GuardDuty

Amazon GuardDutyは、AWS環境における脅威を継続的に検出するフルマネージド型の脅威検出サービスです。

AWSのログやイベントデータ、ネットワークアクティビティなどを分析し、不審なアクティビティや潜在的な脅威を検出します。

例えば、通常とは異なる場所からのログイン試行や、不審なAPIコール、マルウェア関連の通信などを検知し、セキュリティ担当者へ通知することが可能です。

複雑な設定やインフラ構築、専用機器の導入は不要で、AWS環境上で「有効化」するだけで利用を開始できます。

検出結果は重要度ごとに分類され、脅威の内容や影響を受けるリソース、関連するイベント情報などを確認できます。

そのため、セキュリティインシデントの早期発見や迅速な対応に役立ちます。

参考：インテリジェントな脅威検出 – Amazon GuardDuty – AWS

3．Amazon Inspector

Amazon Inspectorは、AWS環境内のリソースに存在する脆弱性を継続的に検出する、自動脆弱性管理サービスです。

AWS環境内で稼働するリソースを自動的に評価し、ソフトウェアの脆弱性やセキュリティ上のリスクを検出することで、セキュリティリスクの早期発見と対策を支援します。

Amazon Inspectorは、Amazon EC2、Amazon ECR、AWS Lambdaなどに対応しており、対象リソースを継続的にスキャンします。

新たな脆弱性が発見された場合には、その内容や重要度、影響を受けるリソースなどを確認できます。

そのため、脆弱性の見落としを防ぎ、AWS環境のセキュリティレベルを継続的に維持するために役立ちます。

参考：自動化されたソフトウェア脆弱性管理 – Amazon Inspector – AWS

4．AWS WAF (Web Application Firewall)

AWS WAF（Web Application Firewall）は、AWSが提供するWebアプリケーション向けのファイアウォールサービスです。

Webアプリケーションに対する通信を監視・制御し、SQLインジェクションやクロスサイトスクリプティング（XSS）などの一般的なWeb攻撃からアプリケーションを保護します。

AWS WAFでは、「Web ACL（Access Control List）」にルールを設定することで、特定の通信を許可または拒否できます。

例えば、特定のIPアドレスからのアクセスを制限したり、不正なリクエストパターンをブロックしたりすることが可能です。

また、Amazon CloudFront、Application Load Balancer（ALB）、Amazon API GatewayなどのAWSサービスと関連付けることで、Webリクエストを監視・制御できます。

これにより、インターネットに公開されたWebアプリケーションへの不正なアクセスや攻撃を防止し、セキュリティリスクの低減に役立ちます。

参考：AWS WAF ドキュメント

5．Amazon Macie

Amazon Macieは、機械学習とパターンマッチングを活用して、Amazon S3に保存されている機密データの検出・分類・保護を自動化するデータセキュリティサービスです。

個人情報や認証情報などの機密データを自動的に識別し、どのS3バケットに保存されているかを可視化できるため、機密情報の管理状況を把握しやすくなり、情報漏洩リスクの低減に役立ちます。

また、S3バケットのアクセス設定やセキュリティ状況を継続的に評価し、機密データが保存されているバケットに対する潜在的なリスクも確認できます。

Amazon Macieはリージョン単位で有効化することで利用でき、有効化したリージョン内では、機密データの検出結果やセキュリティ上の懸念事項をまとめて確認することが可能です。

そのため、個人情報や機密情報をAmazon S3で管理している企業にとって、機密データの保護や情報漏洩対策を支援する有効なサービスの一つとなっています。

参考：機密データの検出と保護 – Amazon Macie – AWS

6．AWS CloudTrail

AWS CloudTrail（クラウドトレイル）とは、AWSのアカウント内で実行されたユーザーアクティビティやAPIコールを記録・追跡するサービスです。

「誰が」「いつ」「どのAWSリソースに対して」「どのような操作を行なったのか」を確認できるため、不正アクセスや設定変更時の原因分析・監査対応などに役立ちます。

AWS CloudTrailは、AWSアカウント作成時に自動的に有効化されるため、追加設定なしで直近90日間の管理イベントを確認できます。

90日以上の操作履歴を保存したい場合は、CloudTrailの「証跡」を設定することで、Amazon S3へログを保存することも可能です。

そのため、AWS環境の監査やインシデント発生時の調査において、重要なサービスの一つとなっています。

参考：AWS CloudTrailとは – AWS CloudTrail

7．AWS Key Management Service (KMS)

AWS Key Management Service（KMS）は、データの暗号化や復号、デジタル署名に使用する暗号鍵を作成・管理できるサービスです。

AWS KMSを利用することで、Amazon S3やAmazon EBS、Amazon RDSなどのAWSサービスに保存されたデータを暗号化し、機密情報を保護できます。

暗号鍵はAWS KMSによって安全に管理されるため、利用者が独自に鍵管理システムを構築・運用する負担を軽減できます。

また、鍵の利用権限を細かく制御できるため、不正利用の防止にも役立ちます。

さらに、AWS CloudTrailと連携することで、誰がいつ暗号鍵を利用したのかといった操作履歴を記録・監査することも可能です。

そのため、機密データの保護やコンプライアンス対応を行ううえで、重要なセキュリティサービスの一つとなっています。

参考：暗号化のための暗号署名 – AWS Key Management Service – AWS

8．Amazon VPC (Virtual Private Cloud)

Amazon VPC（Virtual Private Cloud）は、AWSアカウント内に構築できる専用の仮想ネットワークサービスです。

Amazon VPCを利用することで、Amazon EC2やAmazon RDSなどのAWSリソースを、論理的に分離されたネットワーク環境内で運用できます。

また、IPアドレス範囲やサブネット、ルートテーブル、セキュリティグループなどを設定することで、AWSリソース間の通信やインターネットとの接続を細かく制御することが可能です。

例えば、外部からアクセス可能なWebサーバーと、外部から直接アクセスできないデータベースを分離して配置することで、セキュリティを向上させることができます。

そのため、Amazon VPCはAWS環境のネットワーク設計やアクセス制御の基盤となる重要なサービスです。

参考：論理的に分離された仮想プライベートクラウド – Amazon VPC – Amazon Web Services

AWSのセキュリティ設定最適化に「AWSセキュリティ診断」

本記事で解説した通り、AWSを安全に利用するためには、責任共有モデルを正しく理解し、利用者側の責任範囲において適切な設定・運用を行うことが重要です。

一方で、AWS環境は利用するサービスやアカウント数の増加に伴い、設定や権限管理が複雑になりやすく、自社だけでセキュリティ状況を継続的に把握することが難しいケースも少なくありません。

例えば、以下のような課題を抱えている企業は少なくありません。

こうした課題の解決に役立つのが、AWS環境の不正アクセスや情報漏洩リスクを可視化する「AWSセキュリティ診断」です。

本サービスでは、お客様が運用中のAWS環境を対象に、CISベンチマークやAWS Security Hubの評価項目、当社独自の診断項目をもとにセキュリティ状況を確認し、改善が必要なポイントや推奨対策をレポートとしてご提供します。

自社のAWS環境に潜むリスクを把握したい方や、セキュリティ対策の見直しを検討している方は、ぜひご活用ください。

サービスの詳細は以下のページをご覧ください。

まとめ

本記事では、「AWSのセキュリティ」をテーマに、AWS利用時に発生しやすいセキュリティリスクや代表的なセキュリティサービスなどを解説しました。

AWSでは「責任共有モデル」を採用しているため、クラウド基盤のセキュリティはAWSが担う一方で、アクセス権限の管理やネットワーク設定、データ保護などは利用者側の責任となります。

そのため、AWSを安全に利用するには、責任共有モデルを正しく理解したうえで、自社環境の設定や運用状況を継続的に確認することが重要です。

しかし、AWS環境は利用するサービスやアカウント数の増加に伴って複雑化しやすく、自社だけでセキュリティ状況を把握・評価することが難しいケースも少なくありません。

AWS環境の設定状況や運用状況に不安がある場合は、第三者による客観的な診断を活用することも有効です。

本記事で紹介した「AWSセキュリティ診断」は、お客様が運用中のAWS環境に潜むセキュリティ課題を洗い出し、CISベンチマークやAWS Security Hubの評価項目などに基づいて診断を実施するサービスです。

「社内にAWSセキュリティに詳しい人材がいない」「自社環境に設定不備や見落としがないか確認したい」という企業・組織の方は、ぜひご活用ください。