AWS再入門2018 セキュリティ監査編

太郎くんとともにAWSを利用する際にセキュリティ監査について、ホワイトペーパーを元に整理してみました。
2018.06.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。池田です。

はじめに

順調にAWS関連の知識を身につけつつ多くのお客様を担当するようになった太郎くん、もう新人とは呼ばれなくなりました。そんな太郎くんですが先日、入社して最初に対応したお客様から「情報セキュリティについて、社内監査を実施したい。AWSに関する部分の監査について教えて欲しい」と依頼を受けていました。何かわかりやすい資料はないかとAWSホワイトペーパーにアクセスした太郎くん「AWS の使用に際しての監査の概要」という40ページほどの資料を発見し、お客様へ説明できるよう整理してみました。

本投稿でご紹介するのは、上記ホワイトペーパーに記載されている事項のうち、太郎くんがお客様への説明用にピックアップした内容になります。原本には各項目におけるチェックリストも掲載されていますが、それらを本文で紹介しようとすると丸ごと転記状態になりそうなので、詳細は割愛しています。チェックリストの詳細を知りたい方はぜひ前述のリンク先より原本をご一読ください。

要約

AWSリソースを利用するユーザーは、自身または自組織でAWS上にデプロイした全てのリソースに対してセキュリティを管理する必要があります。AWSはユーザーへ提供する各サービスの基盤となるインフラストラクチャに対するセキュリティ管理を行います。これは責任共有モデルとも呼ばれています。AWSリソースを利用しているユーザーを監査する場合、これを理解しておく必要があります。 ユーザーは自身または自組織がAWSリソースを利用するためのポリシーやルール、手続きなどに責任を持ち、あらゆるAWSリソースを活用することで再利用可能な、信頼性の高い安全な仕組みを用意することができます。 AWSはAWS CloudTrail、Config、CloudWatch、AWS CloudHSMなど、ユーザーが監査に必要な証跡や証拠を収集、分析が行えるツールや仕組みを提供しています。 また、AWSはISO27001、SOX、PCIデータセキュリティ基準など様々なコンプライアンスレポートをユーザーに提供しています。

監査のコンセプト

責任共有モデルのおさらい

  • AWSが実装、運用するセキュリティ対策は「クラウドのセキュリティ」
  • AWSサービスを利用するユーザーが実装、運用するセキュリティ対策は「クラウドにおけるセキュリティ」
  • WEBコンテンツやアプリケーション、OS、ネットワーク、アカウントなど

監査の主要点

どのようなAWSサービスおよびリソースを使用しているかを把握し、それらに対するセキュリティ対策、リスク管理が用意されていることを確認する。

監査のアプローチ

  • 組織内の誰がAWSアカウントとリソースの所有者であるのか、どのサービスおよびリソースを使用しているのか判断する。
  • ポリシーや計画、手順によりAWS環境が監査プログラムの対象に含まれていることを確認する。

ネットワークの設定と管理

AWSのネットワークはファイアウォールやルーターなどのコンポーネントが仮想化されたものであることを除き、オンプレミスとよく似ています。これを利用するユーザーは組織が定義しているセキュリティ要件と照らし合わせ、確認をする必要があります。セキュリティ要件に合わせパブリックおよびプライベートを使い分ける必要があり、それぞれのトラフィックを適切に制限する必要もあります。

監査の主要点

外部アクセスおよびネットワークセキュリティが適切に制御、構成されていることを確認する。

監査のアプローチ

AWSリソースのネットワークアーキテクチャを理解し、各リソースがどのように設定されているか把握する。

アセットの設定と管理

ユーザーはAWSリソースにインストールされているもののセキュリティ維持とそれらをAWSリソースへ接続する責任を負う。使用中のリソースを把握し、OSやアプリケーションの安全な設定、各種変更制御の管理を行う。

アセット : 一般的に言う資産

お客様の AWS アセットは、インスタンス、データストア、アプリケーション、およびデータそのものとすることができます。

監査のアプローチ

OSおよびアプリケーションは、ポリシーや手順と基準に従って設計、構成、管理されているか。これらをユーザーが適切に行なっているか把握する。

論理的アクセスコントロール

特定のシステムリソースへのアクセス権だけではなく、リソースに対して行える操作の種類(読み取りや書き込みなど)を含めたものを決定する。各種認証情報が適切に保護、構成されていることと、より安全な仕組みを利用する手段を採用することが大切である。

監査のアプローチ

組織のポリシー、手順、プロセスに従って管理されていること、IAMユーザー、グループ、ロール設定の検証と確認を行う。

データの暗号化

基本的にデータは安全に保存されるようAWSは設計されているが、ユーザー自身による暗号化の実施や各種アクセス権の適切な設定も重要である。

監査のアプローチ

データが格納される場所を理解し、保管時および転送中のデータをどのように保護しているのか、それぞれのデータに対するアクセス権は適切であるかを検証する。

ログおよびモニタリング

各種監査ログは、セキュリティインシデントをはじめとした様々な記録を確認するために利用できるよう、適切な構成と保護をすることが重要である。

監査のアプローチ

EC2インスタンス上のOSや重要なアプリケーションにおいて、ログ機能が正常に動作していることを検証し、それらが適切なレベルの内容であることや安全に保護されていることを検証する。

セキュリティインシデントへの対応

責任共有モデルにより、AWSとユーザーはセキュリティイベントを監視する。AWSは基板側(仮想環境ハイパーバイザやインフラストラクチャ)を監視し、影響のあるイベントを検出し対応する。ユーザーはOSやアプリケーションを管理し、イベントの検出や通知とその対応を行う必要がある。

監査アプローチ

AWSシステムのインシデント管理とコントロールの仕組みの有無および運用効率を評価する。

災害対策

AWSは複数のリージョンとアベイラビリティゾーンをはじめ、可用性が高くなるよう設計されたインフラストラクチャを提供しており、ユーザーはそれらを適切に利用した設計とすることで障害や災害に備えることが可能である。

監査のアプローチ

DRを理解し、特に重要なアセットには耐障害性に優れたアーキテクチャを採用していることを確認する。障害、災害発生時における復旧手順、シナリオについて検証する。

継承された統制

AWSにおけるデータセンターへのアクセスは、様々な手段と仕組みによって管理、維持されておりそれらは定期的に監査されていることを理解する。

監査のアプローチ

サードパーティによる証明および認定をAWSへ要求し、評価する。

まとめ

太郎くんはこのホワイトペーパーに掲載されているチェックリストと併せ、監査において便利なツールであるAWS Trusted Advisorの利用をお客様へ提案しました。基本的なチェックやセキュリティリスクの低減に関わる情報を取得し、それらを監査および評価プロセスに使用することができるからです。そして、これらの監査やチェックプロセスは定期的に実行する大切さについても伝えました。 そして最後に、無料で使えるセキュリティチェックサービスinsightwatchも紹介しました。