AWS

AWSでEC2インスタンスを安全に使うための3つの注意点

今回はAWSでEC2インスタンスを起動した際に、安全に使うために行った方が良いことについてお話ししたいと思います。

セキュリティグループのインバウンドルールを最小限にする

AWSでEC2インスタンスを安全に使うための3つの注意点

インバウンドルールというのは、そのEC2インスタンスにアクセスできるトラフィックに制限をするためのルールです。AWSでEC2インスタンスを起動する場合にセキュリティグループをEC2インスタンスに対して設定しますが、インバウンドルールを最低限必要なIPアドレス、ポートのみに限定することでEC2インスタンスを安全にすることができます。

下記のようにSSHのポートであれば「マイIP」を選択し、自分のIPアドレスからのアクセスのみを許可するようにします。

AWSでEC2インスタンスを安全に使うための3つの注意点

私は、過去にあまり知識の無い担当者が、適当に「すべてのトラフィック」を「任意の場所」から許可したために、そのEC2インスタンスが攻撃者に乗っ取られてしまったのを見たことがあります。

その攻撃者がそのEC2インスタンスを使って有名なサイトに攻撃をしかけてたことでそのサイトから苦情が来てしまい発覚しました。

ですので、インバウンドルールを「すべてのトラフィック」を「任意の場所」から許可してしまうのは大変危険ですので、絶対にしないでください。

EC2インスタンスを安全に使うために、セキュリティグループのインバウンドルールをできる限り最小限に限定することは、一番重要な対策です。

ただ、一般ユーザー向けにWebサーバを公開する場合など「任意の場所」に対してアクセスを許可しなければいけない場合もあるかと思います。

そのような場合は下記の対策も併せて行うことが重要です。

OSのパッケージを定期的に最新化する

AWSでEC2インスタンスを安全に使うための3つの注意点

OSのパッケージを定期的に最新化することも重要です。OSのパッケージは日々頻繁に更新されており、セキュリティ上の弱点が修正されています。

このセキュリティ上の弱点が存在したままだと、ゼロデイ攻撃というセキュリティパッチが適用されていないサーバを狙った攻撃を受けてしまいます。

過去にもこのゼロデイ攻撃により多くのクレジットカード情報の流出など大きなセキュリティ事故が発生しています。

クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)では重要なセキュリティパッチについては1か月以内に適用することが求められています。

6.2 すべてのシステムコンポーネントとソフトウェアに、ベンダ提供のセキュリティパッチがインストールされ、既知の脆弱性から保護されている。重要なセキュリティパッチは、リリース後 1 カ月以内にインストールする。

Payment Card Industry(PCI)データセキュリティ基準

ですので、少なくとも1か月に一回は定期的にセキュリティパッチがリリースされていないか確認し、適用していく必要があります。

私はEC2インスタンスで利用するOSはAmazon Linuxが一番良いと思っています。

その理由は、AWSが責任を持ってセキュリティの弱点が無いようアップデートしてくれているパッケージを利用できるからです。

Amazon Linuxであれば下記のサイトでどのようなパッケージの更新が行われているか確認することができます。

Amazon Linux Security Center

Amazon Linuxの場合は下記のコマンドでパッケージの最新化を行います。

sudo yum update

更新されるパッケージが表示されたらyと入力しEnterを押して更新します。いくつかのパッケージはOS再起動しなければ変更が反映されませんので、適用後は念のためOSを再起動します。

複数人で使用する場合は、利用者ごとにOSユーザーを作成する

EC2インスタンスでLinuxを起動するとデフォルトの状態で1つユーザーが作成されています。

Amazon Linuxであればec2-userというユーザーが作成されており、CentOSの場合にはcentosユーザーです。

一人だけでサーバを使用する場合はそれで問題ありませんが、複数人が同じアカウントを共有してしまうともしセキュリティ事故があった場合に、誰がサーバにログインして、どういった操作を実行したかという履歴がわからなくなってしまうため、1人1ユーザーアカウントとした方が良いです。

Linuxサーバであれば下記のコマンドでユーザーの作成ができます。

sudo adduser (ユーザー名)

ユーザーの作成や公開鍵認証の設定方法については下記のAWSの資料も参考にしてください。

ユーザーアカウントを作成する

関連記事

  1. AWS

    AWSでLinuxサーバ上のログを自動的にS3に保存する方法

    AWSでLinuxサーバ上のApacheのアクセスログやアプリケーショ…

  2. AWS

    AWSでRDSに安全にデータを保存するための5つのポイント

    今回はAWSのRDSにデータを安全に保存する方法についてお話したい…

  3. AWSをセキュリティを高めて安全に使う方法

    AWS

    AWSをセキュリティを高めて安全に使う方法

    今回はAWSを安全に使うための方法についてご説明します。AWSは簡…

  4. Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    AWS

    Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    改ざん検知はPCI DSSなどセキュリティを強化する際には、必ず必要に…

  5. AWSでS3の利用料を節約するためにやって置いた方がよいこと

    AWS

    AWSでS3の利用料を節約するためにやって置いた方がよいこと

    AWSでファイルや画像などを配置する場所として利用する場所はS3ですが…

  6. AWS

    CloudFrontでLambda@Edgeを本番運用してわかった注意点

    CloudFrontでLambda@Edgeを一年間運用しまして、気づ…

最近の記事

  1. AWS

    AWSでLinuxサーバ上のログを自動的にS3に保存する方法
  2. webサイトをhttps化するメリットと注意点

    PCI DSS

    webサイトをhttps化するメリットと注意点
  3. Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    AWS

    Amazon Linux2でOSS版tripwireを使って改ざん検知する方法
  4. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント
  5. AWS

    AWSでコンプライアンスのための監査ログを取得する方法
PAGE TOP