AWS（Amazon Web Services）を利用しようか迷っている方の中には、セキュリティ面で不安を抱えている方がいるのではないでしょうか。

AWSのセキュリティに対する不安を払拭するには、まずAWSでどのようなセキュリティ機能が備わっているか把握しましょう。

そこで本記事では、AWSのセキュリティレベルの解説をはじめ、AWSで利用できるセキュリティ機能をご紹介します。

そのほか、AWSのセキュリティの強みや注意点をお伝えするので、AWSのセキュリティに関する知識を培いたい方はぜひ参考にしてください。

AWSのセキュリティレベルは高い？

オンプレミスと比べると、クラウドのほうがセキュリティ的に不安だという方もいるでしょう。

AWSは、セキュリティ強化が必須と考えられる金融業や官公庁、地方自治体で導入されており、セキュリティレベルが高いといえます。

オンプレミスは、サーバーやソフトウェアなどの準備が必要です。一方でAWSなどのクラウドの場合、サーバーを準備する必要がないので、すぐに導入を進められます。セキュリティに関する知識を身につけておけば、よりスムーズにAWSの導入やシステムのリリースなどができるでしょう。

AWSの責任共有モデルとは？

AWSの責任共有モデルは、クラウド環境におけるセキュリティとコンプライアンスの責任が、AWSとそのクラウドサービスを利用する顧客間でどのように分担されるかを定義したものです。

このモデルは、クラウドセキュリティの理解を深める上で非常に重要であり、AWSがクラウドインフラストラクチャのセキュリティを担当し、顧客がクラウド上で実行されるアプリケーションやデータのセキュリティを担当するという基本的な考え方に基づいています。

AWS側のセキュリティ責任

AWSは、データセンターの物理的セキュリティを担保します。ハードウェア、ソフトウェア、ネットワーキング、およびデータセンターを含むクラウドインフラストラクチャのセキュリティ全般を管理します。

AWSは、マルチテナント環境における顧客間のデータ分離を保証します。物理的および論理的な隔離メカニズムを使用して、顧客のリソースが他の顧客のリソースと分離されていることを確保します。

また、AWSはデータセンターおよびインフラストラクチャが多くの国際的なセキュリティおよびコンプライアンス基準に準拠していることを保証します。ISO 27001、PCI DSS、HIPAAなどの認証が含まれ、顧客がこれらの基準に基づくコンプライアンス要件を満たすことをサポートします。

ユーザー側のセキュリティ責任

ユーザーは、保存されるデータの暗号化、データの転送時のセキュリティ、データのバックアップと復元、データの廃棄ポリシーの実施など、データのセキュリティとプライバシーを確保する必要があります。

具体的には、AWS Identity and Access Management（IAM）を使用したアクセス権の設定、マルチファクタ認証（MFA）の使用、最小権限原則の適用などが含まれます。

またAWSクラウド環境内の活動を監視し、セキュリティインシデントへの対応準備を整える責任があります。AWS CloudTrailやAmazon CloudWatchなどのサービスを活用したログの収集と分析、定期的なセキュリティ評価の実施なども含まれるでしょう。

AWS による2023年以降のセキュリティに関する予測

ここでは、AWSが予測している2023年以降のセキュリティに関する情報について解説します。

参考：CJ Mosesによる2023年以降のセキュリティに関する予測

予測1. セキュリティは組織のあらゆる活動に不可欠になる

AWSの顧客は、オンプレミスのセキュリティ技術から、ビジネスの成長に合わせて拡張可能で、セキュリティを自動化する責任共有サービスモデルへの移行方法を共有しています。この移行は、クラウドが提供する革新的なセキュリティ機能を活用し、セキュリティを強化しながらビジネスの成長に集中できるようにするためです。

組織はセキュリティ文化を受け入れ、セキュリティを運営の一部として組み込むことで、安全にビジネスを進められます。クラウドセキュリティは、アイデンティティ管理、ネットワーク保護、脅威対策、データ保護、コンプライアンスの確認など、自動化を通じて効率化が可能です。

AWSのツール群は、データの保存場所、アクセス管理、暗号化、データ移動、セキュリティ監視などに関して重要なインサイトを提供します。クラウド導入の増加とともに、これらのセキュリティ分野における自動化の需要は今後さらに高まるでしょう。

予測2. ダイバーシティで継続的なセキュリティ人材のギャップを解決できる

2021年時点で、世界中には約419万人のサイバーセキュリティの専門家がいますが、追加で約272万人が必要とされています。このセキュリティ人材の不足を解消することは、どこでもセキュリティを強化するために重要です。

多くの組織が、セキュリティ専門家に対する需要が供給を上回っているため、ダイバーシティとインクルージョンの推進、雇用基準の再評価、多様なバックグラウンドを持つ候補者への投資を通じて、このギャップを埋める方法を模索しています。

セキュリティの分野における多様性は、異なる視点をもたらし、より強固なセキュリティを実現するために重要です。AWSは、セキュリティの分野で多様な背景を持つ人材の雇用と育成に注力しており、これを通じてセキュリティ体制を強化し、文化の一部としています。

またAWSは、セキュリティ教育の重要性を認識しており、全従業員に無料のセキュリティトレーニングを提供しています。技術の自動化も重要ですが、セキュリティ問題の解決には人的要素が最も重要であり、メンターシップやSTEM教育を通じて次世代のセキュリティ専門家を育成する必要があります。

予測3. AI/機械学習で促進されたオートメーションがセキュリティを強化する

これまでセキュリティはルールベースのシステムで運用されていましたが、AWSでは条件に基づく複雑なシステムを構築し、クラウドの進化により脅威に対する動的な防御とヘッジ戦略を可能にしました。

今後は人間レベルのインテリジェンスの適用や機械学習を使ったセキュリティエンジニアの能力拡張が一般的になり、より安全なクラウドアーキテクチャの構築をサポートします。AI/機械学習を活用することで、進化する脅威にプロアクティブに対応するセキュリティスタンスを開発でき、リモート勤務の増加とそれに伴うセキュリティ脅威の拡大に対処できます。

GuardDuty、Detective、CodeGuru、MacieなどのAWSのサービスは、セキュリティと機械学習の統合を提供し、異常検知や脆弱性の特定に役立ちます。たとえば、GuardDutyのDNSレピュテーションモデリングは、悪意のあるドメインを早期に特定し、高い忠実性で脅威を検出できることを示しているでしょう。

予測4. データ保護へのより大きな投資が進む

EUの一般データ保護規則（GDPR）、カリフォルニア州消費者プライバシー法（CCPA）などのデータ保護法は、データプライバシーに関する規制の始まりに過ぎず、今後も多くの国がこれらの法律に続いて新しい法律を制定すると予想されています。

Ciscoの調査によると、GDPRに準拠している企業は信頼性が高まると考える人が多く、Gartnerは2024年までに世界の75%の個人データが規制の対象となると予測しています。

また、大企業のデータプライバシー関連予算は2024年には250万USDを超える見込みで、この資金はデータ保護プログラムの強化に使われます。

AWSは、進化するプライバシー規制に対応し、顧客がコンプライアンス要件を満たせるように、必要なツールを提供することに注力しています。AWSのサービスを利用することで、顧客はデータの保存場所、保護方法、アクセス権限を管理し、データプライバシーを強化するためのプライバシーセーフガードの実装が可能です。

予測5. より高度な他要素認証の形が普及していく

マルチファクタ認証（MFA）は、パスワードだけでなく、持ち物、知識、生体認証などの追加要素を要求することで、アカウントのセキュリティを強化するシンプルかつ重要な手段です。

これにより、パスワードが漏洩したり社員がソーシャルエンジニアリングの標的になった場合でも、不正アクセスを防ぐことができます。

AWSは、マルチファクタ認証（MFA）の利用がビジネスと個人の両方で増加しており、今後は利便性とセキュリティを向上させる複数の生体認証を組み合わせた認証方式の普及が進むと予測しています。

生体認証を組み合わせた認証方式は、指紋や顔認識など個人固有の特徴を利用し、物理的または行動的特徴を含む認証方法です。活用することで、より自然で摩擦の少ないユーザーエクスペリエンスを提供すると考えられています。

予測6.量子コンピューティングはセキュリティにとってメリットになる

量子コンピューティングが将来、手頃な価格で利用可能になると、現在の暗号化技術が弱体化する可能性があります。この問題に対処するため、業界では耐量子暗号化またはポスト量子暗号と呼ばれる新しい形の暗号化技術を開発しています。

これらの技術は、量子コンピュータにも耐えられるセキュリティレベルを提供することを目指しています。量子コンピューティングが一般化すると、デバイスの接続方法や通信のプライバシー保護方法に変化が生じるでしょう。

長期的には、量子コンピューティングはクラウドセキュリティにメリットをもたらし、新しい技術的アプローチや創造的なソリューションを刺激することで、セキュリティアルゴリズムの進化を促します。量子学の研究者はすでに、従来のコンピューティングを補完し、向上させる方法を模索しています。

AWSで利用できるセキュリティの主な機能

AWSを利用する前に、AWSのセキュリティに関する機能でどのようなものがあるのか知っておきましょう。

ここでは、AWSで利用できる主な機能を4つご紹介します。

IAM

AWSのIAM（Identity and Access Management）は、AWSでのユーザーの認証とアクセス管理を管理するためのサービスです。

IAMは、AWSにアクセスするためのユーザーアカウントを作成し管理します。ユーザーが正当な利用者であることを確認し、AWSのサービスやリソースへのアクセスを許可します。

また、ユーザーごとに適用されるセキュリティポリシーの設定が可能です。セキュリティポリシーには、どのサービスやリソースにアクセスできるか、どの操作を許可するかなどが含まれます。

WAF

AWSのWAF（Web Application Firewall）は、Webアプリケーションを保護するためのセキュリティサービスです。Webアプリケーションに対する攻撃や不正アクセスを検知し、防御する役割があります。

また、不正なアクセスを防ぐためにアクセス制御を行うことも可能です。たとえば、特定のIPアドレスや特定の国からのアクセスを制限したり、不正なコマンドやパラメータをブロックしたりできます。

Webアプリケーションに送られるパラメータやデータの検証を行って、不正なデータや攻撃による障害を防げます。たとえば、正しい形式で入力された情報のみを受け入れ、悪意のあるスクリプトのブロックが可能です。

暗号化・VPN

AWSの暗号化（Encryption）は、データを隠すための技術です。

文字や数字の組み合わせを使ってデータを変換し、元の形に戻すためには特別なキーが必要になります。暗号化により、データが盗まれても他の人が中身を見ることができないため、セキュリティが強化されます。

AWSのVPN（Virtual Private Network）は、インターネット上で安全な通信を確保するための技術です。通常、インターネット上のデータは多くの人に見られる可能性がありますが、VPNを使用すると通信が暗号化されてほかの人に見られなくなります。

暗号化によってデータを保護し、VPNによって安全な通信経路を確立することで、機密情報やプライバシーを守れます。

アンチウィルス機能

AWSでは、AWS Marketplaceを通じて複数のセキュリティパートナーが提供するアンチウイルスソフトウェアを利用できます。アンチウイルスソフトウェアは、AWS上で実行されるインスタンスやアプリケーションを保護するために使用するものです。

インスタンスに対してリアルタイムでスキャンを実行し、不正なファイルや活動を検出します。感染したファイルを早期に検出し、ウイルスによる被害を最小限に抑えられます。

またアンチウイルスソフトウェアは、新たに発見されたマルウェアに対応するために、定義ファイルを定期的に更新します。最新の脅威に対して、常に最新の保護が提供されるので安心です。

AWSのセキュリティの強み4つ

AWSのセキュリティに対して不安を抱いている方は、まずAWSのセキュリティの強みを知っていきましょう。

ここでは、AWSのセキュリティの強みを4つご紹介します。

自社側のセキュリティ認証取得が不要

AWSは責任共有モデルであり、自社がセキュリティ認証を取得したりサーバー管理などの責任をすべて負う必要はありません。自社側とAWS側で責任が生じる範囲が明示されています。

オンプレミスの場合、データセンターなどのセキュリティについて考える必要があります。一方でAWSの場合データセンターなどのセキュリティを考慮する必要がないので、セキュリティに関する負担の軽減にもつながるでしょう。

状況に応じて自動で拡張

AWSは、セキュリティサービスの拡張が自動的に行われるので、自社側で拡張する手間を省けます。

オンプレミスの場合、トラフィック量の増加にともなってセキュリティ製品を追加したり、ライセンス数を増やしたりしなければいけません。その場合、自社で管理する手間がかかるだけではなく、一時的にサービスを利用できなくなることもあるでしょう。

一方でAWSの場合、トラフィック量が増えても自動で拡張されるので、自社でセキュリティサービスやライセンス数を追加する必要がなくなります。

スムーズにセキュリティの拡張が行えますが、サービスによっては料金が発生するケースがあるので注意しましょう。

またAWSのセキュリティは最新技術が組み込まれていながら、簡単にセキュリティ効果を図れます。数クリックでセキュリティ設定・強化ができるので、はじめてシステム開発・運用する方におすすめです。

24時間365日間システムを監視

AWSのセキュリティ専門チームによる監視が、24時間365時間行われます。

自社がトラブルに気がつかなくてもAWS側で検知してくれるので、業務時間外にトラブルが生じたらどうしようと不安な方におすすめです。

AWSでトラブルなどを検知した場合には、メールなどで通知されるので安心でしょう。

導入費用と期間を削減

AWSのセキュリティサービスを導入する際、初期費用がかからずすぐに利用できます。オンプレミスと比べて、導入費用や期間を大幅に削減できるでしょう。

セキュリティサービスの導入期間を短縮できれば、すぐにセキュリティ強化を適用できます。新たなセキュリティサービスが適用するまで時間がかかることがないので、サービスの一時停止などのリスクも軽減できるでしょう。

AWSのセキュリティの注意点4つ

AWSのセキュリティの強みだけではなく、注意点やリスクもいくつかあります。注意点も把握した上で、AWSのセキュリティ性を高めていきましょう。

ここでは、AWSのセキュリティの注意点を4つご紹介します。

アカウントの乗っ取り

AWSアカウントは、重要なリソースへのアクセスを提供し、機密データやインフラストラクチャーへのコントロールを可能にします。AWSアカウントが不正にアクセスされると、重大なセキュリティ上の問題が発生する恐れがあるでしょう。

アカウントが乗っ取られれば、アカウント内で管理している情報が漏洩するだけではなく、自社でアクセスできなくなってしまうケースもあります。

ただし、AWSのセキュリティ対策をしっかり行っていれば、自社以外からアクセスするのは困難です。24時間体制で監視していれば、不正アクセスを検知してもすぐに対処できるでしょう。

情報漏洩のリスク

AWSを利用する際はデータを外部から直接アクセスできない場所に配置したり、接続元IPアドレスを制限したりなど、あらゆる対策を講じていますが、適切に利用できていない場合やセキュリティが不十分な場合は情報漏洩のリスクが高まってしまいます。

またインターネット経由でデータ送受信することが原因で、大切なデータが含まれた通信内容を搾取されてしまうリスクもあるでしょう。

アカウントの乗っ取りを防ぐための対策と同じように、24時間体制で監視して不正アクセスを検知するたびに対処したり、セキュリティサービスにより不正アクセスを防止したりすることが大切です。

クラウドリソースへの攻撃でサーバ停止

AWSのクラウドリソースが攻撃されるリスクは基本的に少ないですが、完全にセキュアな環境を整えるのはAWSだけではなくそのほかのクラウドサービスでも難しいです。そのため、隙をつかれて攻撃されてしまうリスクが少しでもあるといえるでしょう。

また社内用のシステムなどではなく、社外に公開済みのシステムの場合は攻撃を受ける可能性が高まります。サーバー停止を狙った攻撃などにより、損害が生じてしまうリスクも理解した上でセキュリティ対策を行いましょう。

ウイルス感染やOSの脆弱性が原因でシステム停止

リソースへの攻撃と同じように、ウイルスからの攻撃によりシステムが停止してしまう恐れがあります。そのほか、OSの脆弱性をついた攻撃により損害が生じてしまう恐れもあるでしょう。

毎日新しいウイルスが発見される中、ウイルス対策ソフトやサービスを導入して、ウイルスを検知してブロックすることが大切です。

OSの脆弱性が発見された場合は、その都度パッチ対策を行ってセキュリティ環境を整えましょう。

【カテゴリ別】AWSのセキュリティサービス

AWSのセキュリティレベルが高いと知っていても、具体的にどのサービスを利用すれば良いかわからない方もいるでしょう。そのような方は、どのようなセキュリティサービスが提供されているのか知ると良いでしょう。

ここでは、AWSのセキュリティサービスをカテゴリ別にご紹介します。
引用：AWSのセキュリティ、アイデンティティ、コンプライアンス

IDおよびアクセス管理

IDおよびアクセス管理に関するセキュリティサービスは、以下の通りです。

• AWS Identity and Access Management（IAM）：IDとAWSのサービス・リソースへのアクセスを安全に管理
• AWS IAMアイデンティティセンター（SSOの後継）：複数のAWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理
• Amazon Cognito：フリクションレスなカスタマーIDおよびアクセス管理の実装・拡張
• Amazon Verified Permissions（プレビュー）：カスタムアプリケーション内で権限・承認を管理
• AWS Directory Service：フルマネージドのマイクロソフトアクティブディレクトリサービスで効率を高める
• AWS Resource Access Manager：複数のアカウント間でAWSリソースを簡単かつ安全に共有
• AWS Organizations：AWSのリソースをスケーリングする際に環境を一元管理

検出

検出に関わるセキュリティサービスは、以下の通りです。

• AWS Security Hub：AWSのセキュリティチェックの自動化とセキュリティアラートの一元化
• Amazon GuardDuty：インテリジェントな脅威検出でAWSアカウントを保護
• Amazon Inspector：自動化された継続的な脆弱性管理
• Amazon Security Lake（プレビュー）：セキュリティデータを自動的に一元化
• AWS Config：リソースの構成を評価・監査
• Amazon CloudWatch：AWS、オンプレミス、および他のクラウド上のリソースとアプリケーションを観察・監視
• AWS CloudTrail：ユーザーアクティビティとAPI使用状況の追跡
• AWS IoT Device Defender：IoTデバイスとフリート全体のセキュリティ管理 

ネットワークとアプリケーションの保護

ネットワークとアプリケーションの保護に関するセキュリティサービスは、以下の通りです。

• AWS Firewall Manager：アカウント全体のファイアウォールルールを一元的に構成・管理
• AWS Network Firewall：VPC全体にNetwork Firewallセキュリティを配置
• AWS Shield：マネージドDDoS保護でアプリケーションの可用性と応答性を最大化
• AWS Verified Access（プレビュー）：VPNなしでアプリケーションへ安全にアクセス
• AWS Web Application Firewall（WAF）：攻撃からWebアプリケーションを保護
• Amazon Route 53 Resolver DNS Firewall：DNSトラフィックを監視し不正なトラフィックやマルウェアへのアクセスをブロック

データ保護

データ保護に関するセキュリティサービスは、以下の通りです。

• Amazon Macie：大規模な機密データを検出して保護
• AWS Key Management Service（AWS KMS）：データを暗号化またはデジタル署名するためのキーを作成および管理
• AWS CloudHSM：AWS上のシングルテナントのハードウェアセキュリティモジュール（HSM）を管理
• AWS Certificate Manager：AWSのサービスと接続されたリソースを使用したSSL/TLS証明書の管理
• AWS Private Certificate Authority：リソースを識別してデータを保護するためのプライベート証明書を作成
• AWS Secrets Manager：シークレットのライフサイクルを一元的に管理

インシデントへの対応

インシデントへの対応に関するセキュリティサービスは、以下の通りです。

• Amazon Detective：セキュリティデータを分析および視覚化して、潜在的なセキュリティ問題を調査
• AWS Elastic Disaster Recovery：スケーラブルでコスト効率性に優れたAWSへのアプリケーションの復旧 

コンプライアンス

コンプライアンスに関するセキュリティサービスは、以下の通りです。

• AWS Artifact：AWSのコンプライアンスレポートにオンデマンドでアクセス
• AWS Audit Manager：AWSの使用状況を継続的に監査して、リスクとコンプライアンスの評価を簡素化

まとめ

AWSのセキュリティは、拡張を自動で行われたり、セキュリティ強化が容易であったりと、はじめてシステム開発を行う方にとってのメリットが満載です。

オンプレミスと異なりセキュリティサービスの導入費用を抑えられるので、セキュリティにかかる費用を削減したい場合や予算を多く用意できない場合にもおすすめです。

ただし、AWSはクラウドサービスであるが故に、アカウントの乗っ取りやウイルス攻撃によるシステム停止などのリスクがあります。

AWSの利用を検討している方は、セキュリティに関するメリットだけではなくさまざまなリスクも把握した上で、セキュリティ対策を行いましょう。