AWSの利用で、セキュリティやウィルス対策の責任は誰が負う？

AWSのセキュリティは万全か？

皆さん、よくご存知のAWSはAmazonが展開する世界最大のクラウドサービスですが、セキュリティ面でも世界最高クラスのサービスが提供されています。そのため、AWSを利用する際には、利用者側で用意するものが無いと信じている方も少なくありません。確かに、AWSにはセキュリティ面でもさまざまな強固なセキュリティ対策が施されており、利用者側はセキュリティ対策が不要と考えがちですが、それは大きな誤りです。

AWSには「責任共有モデル」と呼ばれるものがあり、利用者側もクラウド内のセキュリティ確保に一定の責任を負っています。基本的に、AWSは不沈艦と言えるほどの強固なセキュリティによって守られていますが、搭乗員の健康管理に関しては自己管理と認識しておく必要があります。ここでは、AWSのウィルス対策をはじめとするセキュリティ対策について解説していきます。

セキュリティ事故は、報道されないものを含めると膨大な件数があると言われています。自社の機密情報漏洩・サーバー攻撃によるサービス停止・データの改ざんや破壊などさまざまありますが、最も影響が大きいのは個人情報の漏洩です。

個人情報が漏洩すると、顧客に直接被害が及び、企業のブランドイメージの失墜ばかりか、株価下落、売上低下、さらには顧客への補償などで、時には企業の経営そのものが危うくなることすらあります。また、被害がAWSやAWS利用者に及び、損害賠償請求を受けるリスクもあります。これほどセキュリティ事故は多大な損害を被るということをまず認識しておきましょう。

AWSには「責任共有モデル」という考え方があります。「責任共有モデル」は、AWSが提供する数々のインフラやサービスについて、AWSが直接責任を負うべき部分と、利用者が責任を負うべき部分を明確に分けて、責任の分界点を明らかにする考え方です。AWSが責任を負っている範囲は具体的にはハードウェア・ソフトウェア・ネットワーク関連・AWSのサービスを提供している施設（データセンター）です。AWSの責任範囲で発生した障害や事故で、利用者に損害を与えた場合にはAWSが損害賠償責任を負います。

一方、AWSが提供しているサービス以外の部分が利用者側の責任範囲となりますが、責任を負う範囲は、AWSクラウドサービスの利用している範囲によっても異なります。

参照：責任共有モデル – アマゾン ウェブ サービス (AWS)

AWS側の責任範囲

「責任共有モデル」のAWS側の責任範囲について、もう少し詳しく述べます。「責任共有モデル」におけるAWS側の責任範囲は、主にAWSサービスの基本となっているインフラの部分です。以下、主な責任範囲を列挙します。

AWSの施設（データセンター）は、非常に強固な物理的セキュリティによって守られていますが、万が一、データセンターそのものが災害などによって停止という事態に陥ると、他のAWSのデータセンターで処理を継続できるような仕組みになっています。これをディザスタリカバリ（disaster recovery - DR）と言います。この施設の管理はAWSの最初の責任範囲です。

AWSのデータセンター内には、さまざまなインフラ設備があります。電源・空調・ネットワーク・サーバー・ストレージなどは24時間監視下にあり、冗長化も含めて完全無停止を前提に設計され、稼働しています。このインフラストラクチャの管理は、AWSの2つめの責任範囲です。

AWSはホストOSの稼働を保障しています。これがAWSの3つ目の責任範囲です。そのために厳格なアクセス管理が行われるよう、多要素認証に基づき、外部からのアクセスが非常に厳しい仕様となっています。利用者側が作業を完了した後は、都度システムへの付与特権とアクセス権を削除するとともに、全てのアクセスのログが保管される仕組みです。

利用者側の責任範囲

AWSの「責任共有モデル」では、AWSが提供しているサービス以外の部分はユーザー側で責任を負うことになります。

IaaSのようなホスティングサービスでは、ゲストOSの管理や運用は利用者側の責任範囲です。

仮想サーバーであるAmazon EC2 インスタンスを利用する場合は、ゲストOSの更新・セキュリティパッチの適用・アプリケーションなどの管理・ファイアウォールの構成については利用者が責任を負う形となります。

Amazon EC2 のサービスはIaaS（Infrastructure as a Service ）のため、ネットワークの設定を含むセキュリティ構成や管理は利用者側の責任で行う必要があります。

Amazon EC2では、利用者がEC2のインスタンス内にインストールしたアプリケーションは、利用者側で管理したり、運用したりする責任を負います。

AWSサービスの中で扱うデータは、暗号化を含めてそのデータの管理は利用者責任となります。また、データはオーナー（利用者）以外の者がその管理方法を決めることはできません。

前記のデータの暗号化と同様、AWSのサービスの利用者のアカウント・アカウントに紐づくシステム・利用者側のデータに対するアクセス権限の管理や運用も、利用者が責任をもって行う必要があります。

AWSで利用者が行うべきセキュリティ対策とは

では、これらの問題を防ぐための対策としては、どのようなものがあるのでしょうか？ここでは、AWSを使用する際の具体的なセキュリティ対策をご紹介します。詳しくは、AWS アカウントのセキュリティを改善するための 10 個の項目を参照してください。

利用者に際して、まず初めにセキュリティグループの設定を行いましょう。AWSが標準装備しているファイアウォールのことをセキュリティグループと称し、EC2インスタンスに対して適用します。

セキュリティグループでは、EC2インスタンスへのアクセス許可の範囲とトラフィックの制御が行えます。特に開発環境ではセキュリティ被害に遭いやすい傾向があるため、インバウンドルール（アクセス制限のルール）は厳しく設定し、必要がない人には公開しないことです。

ログの管理も重要なセキュリティ対策の1つです。定期的に認証情報を確認し、怪しい認証がないかどうか確認しましょう。また、1度発行したIDで90日間以上利用されていないものは、確認をとって削除するようにします。休眠状態のIDが不正アクセスに利用されるケースがよくありますので、不要なIDは極力使わないようにすべきです。

さらに、ソフトウェアのバージョン管理もしっかり行いましょう。セキュリティに脆弱性が発見されると、その脆弱性が攻撃の標的になりがちです。セキュリティパッチの有無を定期的にチェックし、ソフトウェアのバージョンを常に細心に保つことが重要です。

AWSは強固なセキュリティ対策が施されているとはいえ、インターネットに向けて公開された環境にあります。ソフトウエアの脆弱性を利用して、マルウェアやウィルスなどの不正プログラムが侵入してくるリスクはゼロではありません。また、自社のシステム内で利用しているメールシステムやWebシステムを経由してウィルス感染するリスクもあります。マルアェア対策、コンピューターウィルス対策は利用者の責任と心得て、アンチウィルスソフトなどの適用を図る必要があります。

MFAとは、簡単に言えば2段階認証のような仕組みです。一般によく使われるログインIDとパスワード認証に加えて、さらにもう別の認証要素を組み合わたものです。これを有効にしておくと、第三者による不正ログインを防ぐことができます。

上記以外にもセキュリティレベルを高めるための方法は幾つかあり、AWSは10項目のセキュリティ対策を提唱しています。その他には脆弱性診断サービスを利用して、自社のシステム特有の脆弱性がないか否かを検証することが求められます。AWSには脆弱性診断のオプションサービスとしてAmazon Inspectorがありますので、こちらを利用しても構いませんし、自社の協力会社などのサービスを利用しても構いません。いずれにせよ、自社システムの脆弱性を定期的に診断することで、セキュリティの強化を図ることができます。

AWSを正しく利用し、クラウド利用の効果を最大化しよう

いかがでしたか？AWSは鉄壁のセキュリティで守られているから、セキュリティ対策は不要と思われていた方にはがっかりされた方がいるかもしれません。しかし、実はAWSはオンプレミスの場合と比べて、利用者側が行うべきセキュリティ対策はかなり限定されており、その負担も軽減されています。セキュリティ基準の厳しい金融系のシステムでもAWSを利用しているほどです。

AWSは直ぐに利用できて大変便利なクラウドサービスですが、利用する側がセキュリティ管理を疎かにすると、大きな事故につながる可能性を排除することはできません。AWS側は、AWSの責任による事故などは補償をしますが、逆に利用者側の責による事故に対して一切補償はありません。さらに、事故がAWSや他の利用者に影響を及ぼした場合は、損害賠償請求の可能性を否定できません。

AWSは「責任共有モデル」という両者の責任の分界点を明確にしています。つまり双方が責任の分担をしなければ、安全の確保やセキュリティの担保ができないということです。セキュリティ確保の責任は、この記事をお読みになったITエンジニアの皆さん1人1人にあるという自覚を持ち、AWSを正しく利用して、その利用効果の最大化を図っていきましょう。