AWSをセキュリティを高めて安全に使う方法

AWS

AWSをセキュリティを高めて安全に使う方法

今回はAWSを安全に使うための方法についてご説明します。

AWSは簡単に始められるのでセキュリティのことまで気にしていない場合も多い

AWSをセキュリティを高めて安全に使う方法

AWSは簡単に使い始められ、サーバを構築するだけであれば簡単にできてしまうので、セキュリティ面まで気にせずに使ってしまうという場合もあるかと思います。

私がこれまで見てきた環境の中でも下記のようなものがありました。

  • AWSコンソールへのログインはrootアカウントを全員で使いまわしている
  • EC2インスタンス起動時のデフォルトユーザー(ec2-user, centos, ubuntuなど)を全員で使いまわしており、ssh秘密鍵も共有している
  • OSのセキュリティアップデートを起動時から一度も行なったことがない
  • IAMロールには全て管理者権限(AdministratorAccess)を与えて何でもできるようにしている

このような状態だと、セキュリティ事故がもし発生した場合でも誰が何をやったかあとで追跡することもできません。

ただ、いきなりセキュリティを高めようと思っても何から手をつけていいかわからないということがあるかと思います。

そういった場合にオススメの文書があります。

CISベンチマーク

AWSをセキュリティを高めて安全に使う方法

CISというのは、米国インターネット・セキュリティー・センター(Center for Internet Security)の略で、米国政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む団体です。

この団体が作成しているベンチマークという資料には、AWSだけではなく、Google Cloud, Azureなど多くのクラウドサービスを安全に使うための手順が具体的に記載されています。

また、Apache, Oracle, MySqlなどのミドルウェアについての資料もあります。

クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)では、下記のような要件があります。

要件 2.2 すべてのシステムコンポーネントについて、構成基準を作成する。この基準は、すべての既知のセキュリティ脆弱性をカバーし、また業界で認知されたシステム強化基準と一致している必要がある。

業界で認知されたシステム強化基準のソースには以下が含まれる(これらに限定されない)。

  • Center for Internet Security(CIS)
  • 国際標準化機構(ISO)
  • SysAdmin Audit Network Security(SANS)Institute
  • 米国国立標準技術研究所(NIST)

PCI セキュリティ基準

つまり全てのシステムの構成要素についてセキュリティの分野で認知された基準に従って設定する必要があるということで、CISはPCI DSSでも認知された基準の例としてあげられているということです。

ですので、このベンチマークを下記のサイトからダウンロードして、それに従って一つ一つ設定していくことでセキュリティを高めることができるということになります。

CISベンチマーク

AWSのインフラの場合は、CIS_Amazon_Web_Services_Foundations_Benchmark_v1.2.0

Amazon Linuxの場合は、CIS_Amazon_Linux_2_Benchmark

を参照します。

最初に説明したような、

  • rootアカウントを共有しない
  • デフォルトのユーザーを無効にする

といったこともCISベンチマークの中に入っており、それを確認するためのコマンドも記載されています。

PCI DSSの要件を満たすためにもCISベンチマークを使うことができます。

ただ、注意点として、パスワード要件などPCIの要件と異なる場合がありますが、その場合はPCI DSSの要件を優先して問題ありません。

また、CISベンチマークに記載されている対策でも、その対策を実施するのと同様のリスク軽減が他の方法で実現できていると判断できるのあれば、それを理由にその対策を実施しないという判断をすることもできます。

PCI DSSの用語でいう、代替コントロールという考え方です。

代替コントロールとは、PCI DSSでは「事業体が正当な技術上の制約または文書化されたビジネス上の制約のために記載されているとおりに明示的に要件を満たすことができないが、その他の(つまり代替の)コントロールを通じて要件に関連するリスクを十分に軽減している場合」に、検討できるものとしています。

代替コントロールのツボ

重要なのは、一つ一つの要件を読み込み、リスクがあるかないか判断していくことです。

関連記事

  1. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWSでセキュリティグループはEC2やRDS(リレーショナルデータベー…

  2. AWS

    AWSでRDSに安全にデータを保存するための5つのポイント

    今回はAWSのRDSにデータを安全に保存する方法についてお話したい…

  3. AWS

    AWSでS3を安全に使うための2つのポイント

    今回は、AWSのS3(ストレージサービス)を安全に使うためのポイン…

  4. AWS

    AWSでコンプライアンスのための監査ログを取得する方法

    PCI DSSやIT内部統制などのコンプライアンスの観点でAWS上で監…

  5. Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    AWS

    Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    改ざん検知はPCI DSSなどセキュリティを強化する際には、必ず必要に…

  6. AWSコンソール用の安全なユーザーの作成方法

    AWS

    AWSコンソール用の安全なユーザーの作成方法

    AWSに最初にアカウントを作るとルートユーザーというものが作られます。…

最近の記事

  1. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント
  2. AWS

    AWSでLinuxサーバ上のログを自動的にS3に保存する方法
  3. AWSでCloudFrontを導入する際に注意する点

    AWS

    AWSでCloudFrontを導入する際に注意する点
  4. AWS

    AWSでCloudFrontを使った方が良い理由
  5. AWSで安全なネットワーク設計を行うポイント

    AWS

    AWSで安全なネットワーク設計を行うポイント
PAGE TOP