AWSにおけるセキュリティについて改めて考えると本質はすごくシンプルだった

セキュリティって本当に難しくて苦手意識を持っている方も少なくないと思います。今回改めてAWSセキュリティについて考えたときに、分かりやすく考えが纏まったのでブログで共有することにしました。なお本記事ではAWS環境を前提に紹介しますが、セキュリティ全般に応用できる考え方です。

こーへい

2023.05.25

こんにちはAWS事業本部コンサルティング部のこーへいです。

セキュリティの難しさ

いきなりですが、セキュリティってすごく難しくないですか？

自分はセキュリティに関しては苦手意識が強く、同じくセキュリティに対して苦手意識を持っていらっしゃる方も少なくないと思います。

なぜ苦手意識があるのかを言語化した際に、以下のような理由がありました。

最近、業務にてセキュリティ分野に携わっていると、ふとした瞬間にセキュリティをお宝で例えてみるとわかりやすいのでは？と思った瞬間がありました。

絵で書き出してみるとすごくシンプルで、実際に分かりやすかったのでセキュリティに対して自分と同じく沼にハマっている方に有益だと思います。

悪い人がセキュリティの脆弱性を突いてあなたのAWS環境を攻撃をする理由は、お宝を手に入れるためです。

お宝は悪い人にとって何か得をするもので、それはお金かもしれませんし、情報かもしれませんし、名誉かもしれませんし、悪戯欲を満たせるだけかもしれません。

ここではそれらを包括してお宝で例えてみた場合に、悪い人はあなたのAWS環境を「お宝そのものと判断する場合」と「つるはし(お宝を手に入れるための道具)と判断する場合」の2パターンに分けられると考えられました。

こちらはイメージしやすいと思います。

企業の命運をがかかった機密情報は、悪い人にとっても値千金の情報である可能性が高く、それらを悪い人がお宝と判断した場合はあらゆる手を使いあなたのAWS環境を直接狙ってきます。

例えばS3バケットやRDSに保存されている顧客情報等がこの場合のお宝に該当します。

悪い人があなたのAWS環境を利用して、お宝を手に入れるパターンです。

例として以下が挙げられます。

つるはし(サーバーなど)そのものに魅力はないですが、そのつるはしを利用することで悪い人がお宝を手に入れることができます。

悪い人のメリットして、「つるはしにかかるコストをあなたに押し付けられる」「つるはしで人を怪我させても責任をあなたに押し付けられる」などのメリットがあります。

例えばマイニングはサーバースペックが高いほど報酬(ビットコインなど)を多くもらえるので、当然悪い人はハイスペックのサーバーを何台も立ててマイニングするのですが、そのサーバー代をあなたに押し付けられることができます。

よくありがちなことで、例えば「検証環境用アカウントなどの機密情報を扱っていないアカウントでは、セキュリティ対策に力を入れなくて良いんじゃないの」という考えがあります。

先ほど、悪い人はあなたのAWS環境を「お宝そのものと判断する場合」と「つるはし(お宝を手に入れるための道具)と判断する場合」の2パターンに分けられると考えると申し上げました。

上記の考えでは確かに、機密情報等を扱っていない場合、悪い人はあなたのAWS環境をお宝とは判断しないかもしれません。

一方で、つるはしと判断する場合の危険性は残ったままであり、検証環境用アカウントだからといってセキュリティ対策を杜撰にするのは誤った考えであることがわかります。

セキュリティに対する学習コストは非常に高いです。

それはITの発展に伴い攻撃手段とその対策も多様に発展してきたからで、全てのパターンを網羅することはほぼ不可能です。

ですが網羅することは不可能なものの、理解のスピードを早めることは可能です。

上記は先程挙げた自分の考えるセキュリティが難しい理由ですが、今回紹介したように「悪い人はお宝を狙っている」という目的を押さえた上で、改めてセキュリティに向き合ってみると意外としっくり理解できることも増えるのではないでしょうか。

クラスメソッドでは、セキュリティに関するベストプラクティスを施した状態のAWSアカウントを、お客様に提供することが可能です。 AWS請求代行サービスにご加入いただいたすべてのお客様に無償で提供しておりますので、ぜひこの機会にご検討ください。

詳細なセキュアアカウントサービスの説明は以下の記事をご参照ください。