🧱 基本概念
🔐 責任共有モデル(Shared Responsibility Model)
| 責任主体 | 管理内容(責任範囲) |
|---|
| AWS | データセンターの物理セキュリティ、ネットワーク、ハードウェア、仮想化、ホストOS |
| お客様 | アプリケーション、OSの管理とパッチ適用、データ暗号化、IAM、ファイアウォール設定等 |
✅ 例え:
AWS = 建設会社 → 建物の構造が強固である責任
お客様 = 家の所有者 → 鍵をかける・データ保護の責任
🔑 セキュリティの要点
1. MFA(多要素認証)
- 認証強化:パスワード + デバイスコードの2段階認証
- AWS アカウントやIAMユーザーに推奨設定
2. IAM(Identity and Access Management)
- 最小権限の原則:必要最小限のアクセス許可のみ付与
- IAMポリシー:JSONベースのアクセス制御ルール
3. AWS Organizations
- 複数アカウントの一元管理とセキュリティポリシーの適��用が可能
- SCP(Service Control Policies)で制限設定
🧷 AWS のセキュリティ責任範囲
- データセンター:物理的なアクセス制限・監視
- 仮想化・ネットワーク:セキュリティパッチ、改ざん防止設計
- グローバルインフラ:リージョン、AZ、エッジロケーションの安全維持
- サードパーティ監査レポートあり(物理見学不可)
🛡️ お客様のセキュリティ責任範囲
- OS のパッチ管理と設定(例:EC2 の OS)
- IAM ユーザーとアクセス管理
- データの暗号化(S3, RDS 等)
- セキュリティグループ、ファイアウォールの設定
- データ公開レベルの選択(非公開/条件付き/公開)
✅ ポイントまとめ
- AWS:クラウドのセキュリティに責任
- お客様:クラウド内のセキュリティに責任
- 双方の責任を理解し、信頼で�きるクラウド環境を構築することが重要
🔐 IAM とアクセス管理の基礎
1️⃣ IAMの基本構成と用語
| 用語 | 説明 |
|---|
| ルートユーザー | AWSアカウント作成時に設定される全権限持ちのID。MFA設定が必須。通常使用は避ける。 |
| IAMユーザー | 特定の人物やアプリ用のアカウント。最初は権限ゼロ。必要な許可のみを明示的に付与。 |
| IAMグループ | 同じ役割のユーザーをまとめて管理。グループ単位でポリシー適用可能。 |
| IAMロール | 一時的に権限を付与できるID。ユーザー/サービス/外部IDが引き受ける形式で使用。 |
2️⃣ IAM ポリシーの仕組み
- ポリシーとは?
JSON形式の文書で、許可 (
Allow) または拒否 (Deny) を記述。
- 主な構成要素:
Effect: "Allow" または "Deny"Action: 許可/拒否する AWS の操作(例:s3:ListBucket)Resource: 操作対象の AWS リソース(例:特定の S3 バケ�ット)
📌 最小権限の原則(Principle of Least Privilege)
→ ユーザーやロールには必要最低限のアクセス権だけを付与する。
3️⃣ IAM の活用例とベストプラクティス
✅ グループ管理の活用
- レジ係を全員
Cashiers グループに追加 → 一括でS3アクセス付与
- 異動時はグループを切り替えるだけでアクセス権を変更できる
✅ ロールの使用シーン
- ローテーション勤務や一時的な作業者に柔軟なアクセス付与
- IAMユーザーはパスワードログインが必要だが、ロールは一時トークンによるアクセスが可能
4️⃣ 多要素認証(MFA)
- 仕組み:パスワード + ランダムコード(例:スマホアプリ、SMS)
- 目的:アカウントへの不正アクセス防止
- ベストプラクティス:
- ルートユーザーと重要ユーザーには必ずMFAを設定
- IAMユーザーにも段階的に導入推奨
5️⃣ IAM 管理のベストプラクティスまとめ
| 項目 | 推奨内容 |
|---|
| ルートユーザー | 日常使用を避け、初期設定後はMFAを必ず有効化 |
| IAMユーザー | 各ユーザーに個別アカウントを発行し、最小権限で運用 |
| IAMグループ | 共通ポリシーの一括管理に使用 |
| IAMロール | 一時的なアクセスや外部連携に活用 |
| MFA | ルートおよび高権限ユーザーには必須設定 |
🏢 AWS Organizations:複数アカウントの統合管理
🌟 主な目的
- 複数の AWS アカウントを一元管理
- 請求・コンプライアンス・アクセス制御の統合
- スパゲッティ状態のアカウント管理から脱却
🔧 AWS Organizations の主な機能
| 機能 | 説明 |
|---|
| 一元管理 | すべてのアカウントを1つの組織に統合管理 |
| 一括請求(コンソリデーティッドビリング) | 複数アカウントの請求をまとめて処理、ボリュームディスカウントあり |
| OU(組織単位) | ビジネス要件ごとにアカウントをグループ化 |
| SCP(サービスコントロールポリシー) | 組織内の各アカウント/ロールの最大アクセス許可範囲を定義・制限 |
🗂️ OU(Organizational Unit:組織単位)
- アカウントを用途別にグループ化
- 例:Finance OU, IT OU, HR & Legal OU
- OUにポリシーを適用すると:そのOUに所属するすべてのアカウントに自動継承
- ワークロードの分離や規制対応が容易
🔒 SCP(サービスコントロールポリシー)
- IAMポリシーとは別に組織レベルの制限を設定
- 特定のサービスやAPI操作の使用を制限可能
- SCPはアクセスの上限を定義するもの(実行可否の枠を制御)
🧠 まとめ:Organizations 導入のベネフィット
| 利点 | 説明 |
|---|
| コスト管理 | 一括請求とボリュームディスカウントで最適化 |
| セキュリティ | 組織横断の統制とSCPで制御強化 |
| ガバナンス | OUやSCPを活用して部門別に明確なポリシー適用 |
| スケーラビリティ | 拡張性が高く、大規模組織でも有効 |
📘 Tips:
- 組織を作成すると自動的に**ルート(最上位OU)**が生成され、そこに全アカウントがぶら下がる
- OUに属さないアカウントは存在できない
- 部門別アカウントの管理に最適(例:HR・Legal部門を同じOUに)
📋 コンプライアンスと AWS Artifact の基礎
🧭 コンプライアンスとは?
- 法律・業界基準に準拠して運用されていることを示すプロセス(例:GDPR, HIPAA)
- 監査・文書・記録の整備が必要
- AWS でも 責任共有モデル のもとで適切に対応する必要がある
🛡 AWS とコンプライアンスの関係
| 項目 | 内容 |
|---|
| AWS が提供するもの | データセンターのインフラと運用は既に業界標準準拠(ISO、SOCなど) |
| ユーザーの責任 | 独自に構築したシステム・アプリケーションでのコンプライアンス準拠 |
| データ管理 | 保存されるデータは常にユーザーの所有・管理下にある |
| 暗号化 | 各サービスで異なる暗号化手段が利用可能 |
🌍 地域制限とデータ保護
- データ所在地要件を考慮し、リージョンを適切に選択
- データの自動複製を防ぐ設定も可能
- 保存・保護設定(例:暗号化、有効期限、自動削除)によりデータ保護要件を満たす
📑 AWS Artifact:コンプライアンス文書のポータル
🔸 機能概要
- AWS の コンプライアンス証明書や契約関連ドキュメント を確認・ダウンロードできるサービス
🔹 2つの主要機能
| 種類 | 内容 |
|---|
| Artifact Agreements | AWSとの規制関連契約(例:HIPAA)を締結・管理 |
| Artifact Reports | サードパーティ監査レポート(例:ISO, SOC, PCI)を入手可能 |
🏛 カスタマーコンプライアンスセンター
- 業界別のコンプライアンス事例集を確認可能
- リスクとコンプライアンスの概要や監査チェックリストを提供
- 監査人向けの学習パスも利用可(セキュリティ担当・法務担当に最適)
✅ コンプライアンス対応のベストプラクティス
| 項目 | 推奨事項 |
|---|
| データ保護 | 暗号化を有効化、アクセス制御ポリシー設定 |
| リージョン選択 | データ保存先要件に基づいて選定 |
| 文書管理 | AWS Artifact で必要なレポート・契約書類を取得 |
| 責任明確化 | AWS の提供範囲とユーザーの管理範囲を正確に理解 |
🚫 AWS セキュリティ:サービス妨害攻撃(DoS / DDoS)対策まとめ
🧨 サービス妨害攻撃とは?
| 種類 | 説明 |
|---|
| DoS(Denial of Service)攻撃 | 単一の攻撃者がリソースに過剰負荷をかけ、サービスを停止させる攻撃 |
| DDoS(Distributed DoS)攻撃 | 複数のマシン(ボット)を使って同時多発的に攻撃する大規模なDoS攻撃 |
📞 例え話
→ イタズラ電話でレジをふさぐ → 他の顧客が電話できない状態がDDoS状態
🎯 DDoS の主な攻撃パターン
| タイプ | 内容 |
|---|
| UDPフラッド | 小さなリクエストを装い、偽装アドレスに大量データを返させる反射攻撃 |
| HTTPリクエスト攻撃 | 正規リクエストに見せかけて高負荷処理を大量送信(例:製品検索など) |
| Slowloris攻撃 | 非常に遅い接続でサーバーのリソースを占有し続ける |
| ゾンビボット | 感染したPCを遠隔操作して分散攻撃に使用 |
🛡 AWS における防御方法
✅ 標準機能による防御
| 対策 | 機能概要 |
|---|
| セキュリティグループ | プロトコル単位でアクセスを制限(UDPなど不正なトラフィックをブロック) |
| Elastic Load Balancing (ELB) | リージョンレベルでリクエストを分散処理し、Slowlorisなどに耐性あり |
| AWSのスケール | 攻撃者にとってコストが高くなり、実質的な抑止効果 |
🔐 専用サービスによる追加防御
🛡 AWS Shield
| 種類 | 説明 |
|---|
| Shield Standard | 全ユーザー自動適用、一般的なDDoS攻撃をリアルタイム検出&緩和(無料) |
| Shield Advanced | 有料。大規模攻撃への対応、診断・レポート・通知・サポート機能付き |
🧱 AWS WAF(Web Application Firewall)
- 攻撃パターンに応じたカスタムルール設定
- 機械学習ベースの検出による継続的進化と脅威防御
✅ まとめ:防御アーキテクチャの基本戦略
- 入口制限:Security Group で不正なプロトコルやIPを制限
- フロント分散:ELB や CloudFront でトラフィック分散
- 動的検出:Shield + WAF によるリアルタイム対応
- 責任共有モデルに基づき、AWSとユーザーが協調して対策を実施
📘 補足:
- AWS Shield Advanced は CloudFront、Route 53、ELB などと連携可能
- 企業における本格的な DDoS 対策には Shield + WAF の併用が効果的
🛡 AWS セキュリティ補完機能まとめ
🔒 1. データ暗号化(Encryption)
| 種類 | 説明 |
|---|
| 保管時の暗号化 | データが保存されている状態での暗号化(例:S3, DynamoDB, RDS) |
| 転送時の暗号化 | データがサービス間で移動する際のSSL/TLS通信による保護(例:Redshift ⇄ SQLクライアント) |
🔑 AWS Key Management Service(AWS KMS)
- 暗号鍵の作成・管理・使用を統合管理
- キーは AWS 外に出ることがなく、完全に制御可能
- IAM でアクセス制御、キーの無効化も可能
🧱 2. Web Application Firewall(AWS WAF)
| 特徴 | 説明 |
|---|
| ACL ルールの設定 | 許可/拒否のルールに基づきリクエストを制御 |
| 対象サービス | CloudFront、ALB(Application Load Balancer)など |
| 攻撃対策 | 特定IPのブロック、SQLインジェクション防御等 |
📌 例:特定の悪意あるIPをブロックし、それ以外は正規ユーザーとして許可
🔍 3. Amazon Inspector
| 機能 | 説明 |
|---|
| 目的 | アプリやインフラのセキュリティ脆弱性を自動評価 |
| 主な評価内容 | EC2への過剰アクセス、脆弱なソフトウェアバージョンなど |
| 結果 | 問題リストと推奨修正案(重要度付き)を提供、API経由取得も可 |
🧠 手動スキャンの時間がない開発環境に特に有効
🛡 4. Amazon GuardDuty
| 特徴 | 説明 |
|---|
| 脅威検出型セキュリティサービス | アカウント動作・ネットワークアクティビティから脅威を検出 |
| 分析対象 | VPC フローログ、DNS ログ、CloudTrail イベントなど |
| 導入が簡単 | エージェント不要、1クリックで有効化可能 |
| 対応方法 | 管理画面で詳細確認 or Lambda連携で自動修復 |
🌐 他のセキュリティ連携サービス
| サービス | 役割・特徴 |
|---|
| AWS Shield | DDoS攻撃からの防御(Standard/Advanced) |
| AWS Security Hub | セキュリティ関連の各種検出結果を一元集約・可視化 |
| IAM + MFA | ユーザーごとのアクセス制御、二要素認証による強化 |
✅ まとめ:多層防御(Defense in Depth)
| 層 | 使用サービス |
|---|
| ネットワーク層 | Security Groups, NACL, WAF, Shield |
| アプリケーション層 | Inspector, GuardDuty |
| データ層 | KMS, 保管/転送時の暗号化 |
| 統合監視 | Security Hub, CloudWatch, Lambda連携修復 |
✅ Module 6 まとめ
- セキュリティはAWSと顧客双方の責任
- 最小権限設計+MFA有効化でリスクを最小化
- IAM, Organizations, KMS, Shield 等を組み合わせて多層防御
- すべての設定や制限はサービスドキュメントを参照することが重要
📌 1. 責任共有モデル(Shared Responsibility Model)
| 項目 | AWSの責任 | お客様の責任 |
|---|
| クラウドのセキュリティ | データセンター、ハードウェア、仮想化層、基盤サービス | OS設定、データ保護、IAM、アプリケーション設定 |
| 例 | EC2のインフラ運用 | EC2のOSパッチ適用、セキュリティ設定など |
🔐 2. AWS Identity and Access Management (IAM)
| 機能 | 説明 |
|---|
| ユーザー | 個別ID。デフォルトでは権限ゼロ。 |
| グループ | 共通のポリシーを持つユーザーの集まり。 |
| ロール | 一時的なアクセスを許可するID。 |
| ポリシー | JSON形式のアクセス制御ルール。Allow/Deny/Action/Resource で構成。 |
| フェデレーション | 企業IDとAWSアカウントの連携ログインを実現。 |
| MFA | 特に rootユーザーには必ず設定する。 |
📘 ベストプラクティス: 最小権限の原則(PoLP)でアクセスを設計。
🏢 3. AWS Organizations
| 特徴 | 説明 |
|---|
| 複数アカウントの一元管理 | OU(組織単位)で階層的に分類 |
| 一括請求(コンソリデーティッドビリング) | 複数アカウントのコスト統合、ボリュームディスカウント適用可 |
| SCP(サービスコントロールポリシー) | アカウント全体に対する許可範囲��を制限 |
📄 4. コンプライアンスと AWS Artifact
| 機能 | 説明 |
|---|
| AWS Artifact | コンプライアンス文書と契約情報の取得ツール(ISO、SOC、PCIなど) |
| カスタマーコンプライアンスセンター | 規制対応事例、チェックリスト、監査人向け学習リソースなどを提供 |
| リージョンの選択 | データの地理的要件に応じて対応 |
| データの暗号化 | 保管時(KMS連携)と転送時の両方に対応が必要 |
💣 5. DoS / DDoS 対策
| 攻撃タイプ | 対策手段 |
|---|
| UDPフラッド | Security Groupで不正プロトコルをブロック |
| Slowloris攻撃 | Elastic Load Balancerで緩和 |
| 全般的なDDoS | AWS Shield(Standard/Advanced)で自動検知&緩和 |
| Webレベルの攻撃 | AWS WAF + カスタムルールで防御 |
🔐 6. その他のセキュリティサービス
| サービス | 用途 |
|---|
| AWS KMS | 暗号化キーの生成・管理・利用制御 |
| Amazon Inspector | EC2等の脆弱性スキャンとセキュリティ評価 |
| Amazon GuardDuty | CloudTrailやVPCログを活用した脅威検出 |
| AWS WAF | Webアプリケーション向けファイアウォール |
| Security Hub | セキュリティイベントの統合ビュー管理 |
| IAM Access Analyzer | 外部アクセス許可の検出とレビュー |
📚 追加リソース(公式)