AWSセキュリティ編~AWSにおけるセキュリティの考え方①~


こんにちは!マフラーが手放せないHEROです!

本日からAWSを検討されている方や興味を持っている方に向けてAWSの基本的な考え方やメリットについてご紹介して行きたいと思います。実際に使用してみたいと感じた方は【ナレコムAWSレシピ】や【ナレコムクラウド】をぜひご覧ください!

AWSのセキュリティ

クラウドを検討しているけどデータが消えたり、勝手にアクセスされたりするのではないか。そんな不安をよく耳にします。
クラウド環境という見えない場所に大切なデータを保存する・・・確かに不安ですよね。
AWSでは、そういった不安を払拭するためにセキュリティに関して多くの取り組みを実施しています!

■AWSのセキュリティ
AWSのセキュリティとして下記をご紹介します。

・ 第三者認証
・ セキュリティポリシー
・ 独自技術によるXenの拡張
・ FISC対応
・ 組み込まれているセキュリティ機能

それでは一つ一つ噛み砕いていきましょう!

第三者認証

AWSでは数多くの第三者機関による認証を取得しています。
ユーザーは、サーバに物理的に触ることやデータセンター内を歩くことができないため、適切なセキュリティ管理が実施されていることを確認することはできません。

そこでAWS が取得している第三者認証の登場です。

セキュリティ

AWS は、ISO 27001 認証を取得しているほか、Payment Card Industry(PCI)データセキュリティ基準(DSS)のレベル 1 サービスプロバイダとしても認定されています。AWS は、毎年 SOC 1 監査を受け、米国連邦政府システムの Moderate レベルおよび DoD システムの DIACAP Level 2 としての評価を獲得しています。

いずれの認証も、特定のセキュリティ管理が目的どおりに実施、運用されていることが監査人によって検証されたことを意味しています。

【参考URL】http://aws.amazon.com/jp/security/

セキュリティポリシー

AWSでは多くのセキュリティポリシーがあります。
・物理セキュリティ
・データセンターの場所の秘匿
・2要素認証を2回以上でアクセス
・物理アクセス可能な従業員は論理権限にアクセス不可等の職務の分離

この他、ネットワークセキュリティ、VMセキュリティなどがあります。
【参考URL】http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378

独自技術によるXenの拡張

AWSでは特許技術によるXenの拡張をしています。同一物理サーバに存在する仮想マシン同士が、意図せず情報を共有しないように、完全に遮断するAmazon社の特許技術が用いられています。
※Xen(ゼン)は、仮想マシンモニタの一つ。一つのハードウェアを用いて、複数のオペレーティングシステム (OS) を並列実行・制御するサービスを提供する。

FISC

FISCは、重要なシステムをAWSで構築しようとするユーザーにとって、安全性を確認するための有益なテンプレートであり、必須の資料(リファレンス)です。
そもそも、FISCとは金融庁の外郭団体である「金融情報システムセンター」(The Center of Financial Industry Information Systems)の略称です。金融機関の情報システムに関してさまざまなガイドラインや調査リポートなどを発行しています。最も有名なものが「FISC安対基準」です。
これにより、FISCの項目のうち、どの項目がAWS側の責任で、どの項目がユーザーの責任かを明確にすることができます。
【参考URL】http://techtarget.itmedia.co.jp/tt/news/1309/12/news01.html

組み込まれているセキュリティ機能

AWSには機能やサービスとして利用できるセキュリティがあります。

■ ファイアウォール
組み込まれているファイアウォールルールを設定して、インスタンスのアクセスレベルを完全にパブリックから完全にプライベートに至るまでの範囲内のいずれかに設定できます。また、インスタンスが仮想プライベートクラウド(VPC)サブネット内にある場合は、送信と進入を設定できます。

■ 一意のユーザー
AWS Identity and Access Management(IAM) ツールを使用することで、企業の AWS インフラストラクチャサービスにおけるユーザーのアクセスレベルを制御できます。AWS IAM を使用して、各ユーザーは一意のセキュリティ証明書を持つことができるため、パスワードやキーを共有する必要がなくなり、 最低の権限とロールの隔離というセキュリティのベストプラクティスが可能になります。

■ 多要素認証(MFA)
AWS では、AWS アカウントおよび個々の IAM ユーザーアカウントで使用する多要素認証(MFA)の組み込みサポートが搭載されています。
■ プライベートサブネット
AWS Virtual Private Cloud(VPC)サービスを使用することで、プライベートサブネットを作成し、必要に応じてホームネットワークと AWS VPC の間に IPsec VPN トンネルを追加して、インスタンスにもう 1 つのネットワークセキュリティレイヤーを追加できます。

■ 専用の接続オプション
AWS Direct Connect サービスにより、既存のオンプレミスから AWS への専用ネットワーク接続を確立することができます。この専用接続でユーザーは AWS クラウド内でパブリックおよびプライベートの IP 環境にアクセスすることができます。

これらの機能を組み合わせることで、よりセキュアな環境をクラウド上に構築することできるのがAWSです!
【参考URL】http://aws.amazon.com/jp/security/

いかがでしたか?
次回は、第三者認証について詳しく調べてみましょう!
お楽しみに!