AWSのセキュリティ強化をもっと手軽に
AWS利用にあたって課題のひとつとなるセキュリティ。利用者が責任をもって対策すべき分野もあり、きちんと対策できているのか不安を抱える企業も多いのではないでしょうか?
マネージドクラウド with AWSではコストを抑えて手軽にセキュリティ対策を実現できる「6つのシンプルパッケージ」を提供。さらに、ニーズにあわせた「セキュリティ・インテグレーション」、手間をかけずにセキュリティを維持管理・運用できるツール「クラウドポータル」の標準提供などにより、セキュリティ強化をトータルに支援します。
AWSでは、OS・アプリケーションのセキュリティは利用者の責任
AWSの「責任共有モデル」とは
AWSでは、セキュリティに関して「責任共有モデル」を採用しています。これはAWS側と利用者側で、セキュリティの責任を分担するという考え方です。データセンターやハードウェアといったクラウド基盤のセキュリティについてはAWSが責任を持つ一方、そのうえで稼働するOSやアプリケーションのセキュリティは利用者自身が責任を持って対策しなければなりません。
AWSと利用者の責任範囲
クラウド基盤はAWSがセキュリティ対策を徹底
利用者には認証やパッチ適用、脆弱性対策などが幅広く求められる
利用するAWSサービスによって若干異なりますが、認証・ユーザ管理、OSなどへのセキュリティパッチ適用、稼働するアプリケーションへの脆弱性対策などは利用者自身で対策する必要があります。また、当然ですが、自社のAWS環境におけるAWSリソースの設定や、アプリケーションの稼働状況も、利用者が管理しなければなりません。
AWSでは認証から脅威検知、脆弱性対策までセキュリティ関連のサービスが多数提供されており、これらを適切に組み合わせることで、利用者が担当する領域のセキュリティ対策を実現できます。しかし、これらは一度設定して終わりではなく、常に最適な状態を維持する必要があり、大きな負担になります
AWSが提供するセキュリティ関連サービス
サポート<1> 6つのシンプルパッケージ ~短期間・リーズナブル・手軽にセキュリティ強化を実現
マネージドクラウド with AWSでは、AWS環境のセキュリティ強化を実現する6つのパッケージを提供。よくあるニーズごとにAWSサービスを組み合わせて実装することで、短期間導入を実現します。企業ごとのポリシーや事情にあわせた柔軟な設定が可能で、リーズナブルかつ手軽にセキュリティを強化できます。また、運用の自動化、継続的な監査・監視から異常発生時の通知までを自動化することで、運用負荷軽減にもつながります。
パッチ適用を自動化<ソフトウェア保全管理パッケージ>
【課題】OS(Windows)のパッチ適用を自動化したい、違反アプリ利用をチェックしたい
【解決】AWS Systems Managerを活用し、EC2インスタンスで稼働するWindowsのセキュリティパッチを自動で適用。パッチのレベルやカテゴリを絞って適用することも可能です。あわせて、事前に指定した違反アプリケーションのインストールも検知でき、EC2インスタンスを適切な状態に維持します。
【料金】初期費用:200,000円
脆弱性検査を定期実行<脆弱性対策パッケージ>
【課題】OSなどの脆弱性対策を強化したい
【解決】Amazon Inspectorによる脆弱性スキャンを定期的に実行し、重大な脆弱性が含まれていた場合は管理者に通知。検知内容および推奨される対策が記載されたPDFをメール送付し、迅速な対策をサポートします。さらに、内容によっては、自動でOSのパッチ適用を実行することも可能です。
【料金】初期費用:200,000円
IAMリソースの権限などを監視<IAMリソース保全管理パッケージ>
【課題】IAMユーザを管理しきれない
【解決】「IAMリソースに強い管理者権限が付与されていないか」「アクセスキーを定期的に変更しているか」など、AWSが定めたベストプラクティスに則ってIAMリソースの状態を監視し、違反を検知した場合、管理者に通知。個別のセキュリティポリシーにあわせた監視も可能です。
【料金】初期費用:100,000円
各種セキュリティ設定を定期的に監視<AWSリソース管理パッケージ>
【課題】AWSリソースの各種設定をチェックしきれない/リスクの高い設定を早期に検知したい
【解決】AWS Configを活用し、Amazon EC2やAmazon S3、セキュリティグループ、AWS CloudTrailなどの設定を監視。意図しない設定がおこなわれた場合は、管理者に通知することで、適切な対処をサポートします。
【料金】初期費用:100,000円
AWS操作ログの改ざん防止<AWSガバナンス強化パッケージ>
【課題】AWS操作ログの改ざんを防止したい/ガバナンスを強化したい
【解決】AWS CloudTrailで取得したログ(AWSでのすべての操作ログ)を、異なるAWSアカウントに保存。ログの削除・改ざんを防ぎ、ガバナンス強化をサポートします。
【料金】初期費用:50,000円
AWS上で脅威検知(IDS)を導入したい<アカウント侵害検知パッケージ>
【課題】サイバー攻撃対策を強化したい/Amazon GuardDutyで検出した脅威を見逃さないようにしたい
【解決】AWS上のログを分析し、脅威を検出するAmazon GuardDutyを有効化し、検出された脅威・警告を管理者に通知します。重要度の高いもののみ通知するなど柔軟な設定が可能で、脅威を見逃すリスクを最小限に抑えます。
【料金】初期費用:100,000円
サポート<2> セキュリティ・インテグレーション ~ニーズにあわせた個別設計
テレワークへの対応や、自社のセキュリティポリシーに沿った対策など、企業ごとのニーズにあわせたセキュリティ・インテグレーションをおこないます。VDI環境構築(Amazon WorkSpaces環境構築)や多要素認証、ログ監視など各種サービスも提供可能。セキュリティ設計から環境構築・サービス間の連携までトータルにサポートします。
セキュリティ構成例
サポート<3> AWS運用管理ツール「クラウドポータル」 ~セキュリティ運用も効率化
マネージドクラウド with AWSで標準提供する運用管理ツール「クラウドポータル」を活用することで、セキュリティ対策も効率化できます。認証管理やログ監査などの機能を提供し、日々のセキュリティ運用を容易に。便利な機能をピックアップして紹介します。
AWS Trusted Advisor
期限付きIAMユーザ申請
異常操作アラート
クラウドポータルによる、「よくある課題」の解決策を紹介
AWSの運用、こんなことで悩んでいませんか?
●うちのAWS環境、結局今、どうなってるんだっけ?
●自動化するのも大変なんだよ…
●アカウント管理や監視もちゃんとするんだぞー
信頼の証 「AWS セキュリティ コンピテンシー」 認定取得
AWSにおけるセキュリティに関する高い技術と実績を備えていることを証明する「AWS セキュリティコンピテンシー」の認定を取得しています。これは、2022年6月時点で国内3社目となります。
「AWSコンピテンシープログラム」とは、アマゾン ウェブ サービス(AWS)の技術的な専門知識と、カスタマーサクセスの実績を証明する、AWSパートナーネットワーク(APN)向けの技術認定プログラムです。中でも、「AWS セキュリティコンピテンシー」は、APNパートナーがセキュリティに関する高い技術と実績を備えていることを証明するものとなっています。
そしてこのたび、独自開発の運用支援ツールの実績に加え、幅広いセキュリティ強化支援サービスと高い技術力が評価され、「AWS セキュリティコンピテンシー」の認定を取得することができました。
セキュリティ強化支援に関するさまざまな取り組み
導入事例
【連載コラム】セキュリティの基本を解説するコラムや開発者インタビューなど
「セキュリティ強化や情シスの運用負荷軽減のためにも、細かなアクセス制御が必須だと考えました」
「AWS Trusted AdvisorやIAMユーザの管理、多要素認証まで、幅広くセキュリティ機能をそろえています」
AWSのセキュリティ対策を簡単に強化するパッケージをリリースしました!(前編)
AWSのセキュリティ対策を簡単に強化するパッケージをリリースしました!(後編)
【セミナー】対策の具体的な構成からユースケースまで解説
2022年2月開催、AWSセキュリティサービス「SecurityHub」からIAMやEC2など主要サービスのベストプラクティスを解説したセミナーのアーカイブはこちら>