皆様、セキュリティ対策してますか?
セキュリティを強化すると利便性が落ちる、利便性を高めるとセキュリティが弱くなる、ITエンジニアにとっては永遠のテーマですよね。
AWSは様々なセキュリティサービスを提供しており、うまく組み合わせることによって、悩みが解決できるかもしれません。
この記事では、主要なセキュリティサービスについて解説していきます。
サービス一覧
| サービス名 | 概要 | イメージ(筆者独断) |
|---|---|---|
| IAM | アクセス管理 | 役場 |
| Guard Duty | 脅威検出 | モニタリング室 |
| Inspector | 脆弱性管理 | 監査官 |
| AWS WAF | WAF | SP |
| Macie | 個人情報検出 | 保安官 |
| Detective | 原因の調査・分析 | 安楽椅子探偵 |
| Security Hub | 一元管理 | 敏腕秘書 |
| Shield | DDoS防御 | ガードマン |
| KMS | キー管理 | マンション管理人 |
| Secrets Manager | パスワードなどの管理 | 銀行 |
AWS Identity and Access Management (IAM)
概要
通称「IAM(アイアム)」。
AWSリソースへのアクセス管理を行うAWSの基本中の基本のサービス。
ユーザ管理だけでなく、アクセス管理に関連するさまざまなサービスが提供されています。
使用タイミング
前提条件
- AWSアカウントの作成
メリット
デメリット
ユースケース
Amazon GuardDuty
概要
AIと機械学習を用いて脅威検出をしてくれるサービス
使用タイミング
前提条件
AWSアカウントの作成
メリット
デメリット
ユースケース
Amazon Inspector
概要
自動で脆弱性を管理してくれるサービス
使用タイミング
前提条件
メリット
デメリット
ユースケース
AWS WAF (Web Application Firewall)
概要
Webアプリケーションを保護するファイアウォールサービス。文字通りWAF。
使用タイミング
- Webアプリケーションを提供しており、そのアプリケーションにおいて、不正アクセスやSQLインジェクションなどの攻撃を防ぎたい場合
前提条件
- CloudFront、Application Load Balancer、API Gatewayなどのサービス利用が必須
メリット
- カスタマイズ可能なセキュリティルール
- リアルタイムで攻撃を防御してくれる
デメリット
- 複雑なルール設定には専門知識が必要
- 誤検知により正常なトラフィックがブロックされる可能性あり
ユースケース
- ECサイトの保護
- APIの不正利用防止
Amazon Macie
概要
機械学習を用いた個人識別情報の自動検出・分類
使用タイミング
- S3バケット内の機密データを特定・分類したいとき
- データプライバシーとセキュリティのコンプライアンスの確保
前提条件
- S3バケットの利用
メリット
- 自動で個人識別情報を検出し、リスクを評価
デメリット
- 大量のデータを処理する場合、コストが高くなる
- 一部の言語や特殊なデータ形式では精度が低下する可能性がある
ユースケース
- コンプライアンス報告書の作成
- データ漏洩リスクの評価
Amazon Detective
概要
セキュリティ関連の検出結果や疑わしい動作の根本原因を分析、調査、特定
使用タイミング
- セキュリティインシデントの詳細な調査
- 複数のデータソースからの情報を統合して分析
前提条件
- GuardDuty、CloudTrail、VPCフローログの有効化
メリット
- 自動でデータを収集し、グラフモデルに変換して分析してくれる
- 複雑な調査プロセスを簡単に
デメリット
- 費用が高くなる可能性がある
ユースケース
- 不正アクセスの詳細な調査
- セキュリティインシデントの根本原因分析
\ AWSを体系的に学べる!今すぐ無料で相談! /
AWS Security Hub
概要
セキュリティアラートを集約し、セキュリティ状態を一元管理
使用タイミング
- 複数のセキュリティサービスからの検出結果を一元管理したい場合
- セキュリティ状態の包括的な可視化が必要なとき
前提条件
- 統合するセキュリティサービス(GuardDuty、Inspectorなど)の有効化
メリット
- 複数のセキュリティサービスからの検出結果を統合
- セキュリティ状態を包括的に可視化
デメリット
- 設定が複雑になりやすい
- 誤検知の可能性がある
ユースケース
- 複数アカウントにまたがったセキュリティ管理
- コンプライアンス状況の継続的なモニタリング
AWS Shield
概要
DDoS攻撃からAWSリソースを保護
使用タイミング
- DDoS攻撃対策が必要なとき
前提条件
- 保護対象のAWSリソース(ELB、CloudFront、Route 53など)を使用している
メリット
- 自動的なDDoS攻撃の検出と緩和
デメリット
- 高度な保護には追加コストが必要になる(Shield Advanced)
ユースケース
- ウェブアプリケーションのDDoS保護
- ゲーム関連のサーバー保護
AWS Key Management Service (KMS)
概要
暗号化キーの作成と管理
使用タイミング
- データの暗号化が必要なとき
- 暗号化キーの一元管理が必要なとき
前提条件
- AWSアカウントの作成
メリット
- 暗号化キーを安全に管理してくれる
- AWSの他のサービスと統合が可能
デメリット
- 複雑なキー管理ポリシーの設定が必要な場合がある
ユースケース
- S3バケット内のデータの暗号化
- RDSデータベースの暗号化
AWS Secrets Manager
概要
パスワードやAPIキーなどの機密情報を安全に管理
使用タイミング
- アプリケーションの認証情報を安全に管理
- 定期的な認証情報のローテーション
前提条件
- AWSアカウントの作成
メリット
- 機密情報をまとめて管理
- 自動的に認証情報をローテーション
デメリット
- 個別のシークレット管理に比べると、コストが高くなる可能性がある
ユースケース
- データベース認証情報の管理
- APIキーの安全な保存と利用
マンツーマンでAWSを学べる!無料で相談!
まとめ
セキュリティ管理は永遠のテーマですよね。
AWSは次から次へと便利なサービスが追加されていきますので、ユースケースに合わせて使っていきましょう。
この記事が少しでもサービス選定に役立ったのなら幸いです。
にほんブログ村
AWSランキング
