「初めてAWSを使うときのセキュリティ覚書〜初心者支部編〜」というタイトルでJAWS-UG初心者支部#68 残暑のサメとあざらしSecurity-JAWSコラボLT回!に登壇しました #jawsug_bgnr #jawsug #secjaws
こんにちは、臼田です。
みなさん、AWSのセキュリティ気にしてますか?(挨拶
今回はJAWS-UG初心者支部#68 残暑のサメとあざらしSecurity-JAWSコラボLT回!に登壇した際の資料を共有します。
資料
解説
今回の内容は主に初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本の内容をJAWS-UG初心者支部のイベント参加者向けにアレンジしたものです。
以下の内容は上記の内容をアレンジしてお伝えしていますので、詳細は上記を読み物として読んでいただくと良いと思いますが(読み物として丁寧に作ってあるので)、以下の解説ではライブ感のある解説だけ書き殴っておきます。
ちなみに冒頭ではJAWS-UGのイベントに初めて参加する方がどれくらいいるか調査しています。
初めての方は楽しみ方がわからないかもしれませんが、とりあえずガンガンハッシュタグ#jawsug_bgnrでタイムラインを眺めながらガンガンつぶやきましょう!(他のハッシュタグもつけられそうならつけよう!
1. AWSセキュリティとは
「AWSセキュリティをやらなきゃ!でも何から考えればいいんだろう…?」という方はいらっしゃいますか?
AWSを始めたばかり、あるいはこれから始めていくという方はAWSのセキュリティを気にし始めたとき、どう考えていけばいいか迷うと思います。まずAWSセキュリティってなんだろうというところから話しています。
AWSセキュリティってつまり…
AWSセキュリティ = AWS + セキュリティ
なんですよね。
あたりまえでは?となるかもしれませんがこれが大事なんです。セキュリティはすべての物事に基本的に備わっている機能であり、AWSはいろんなIT技術を活用しているものなので、使われているそれぞれのIT技術の基礎を学習していく必要があるんですね。その先に適切なAWSセキュリティが待っています。
というわけでその基礎ってどういうこと?というのを次のフェーズで説明します。
が、その前にAWSはクラウドの基礎の手前の話です。
セキュリティは物事に備わっている基本的な機能ですが、レベル感があります。守るべきものによってどこまでやるかは考える必要があります。
そして、企業がITのセキュリティ対策をしていくのは情報セキュリティですが、情報セキュリティはビジネスのために実施していきます。ビジネスを適切に行うための情報セキュリティであることを意識しましょう。
続いてAWS、クラウドですが、なぜクラウドを活用していくのでしょうか?いろんなメリットがありますが詳しいことはAWS の クラウドが選ばれる 10 の理由 | AWSを参照してください。
それぞれなんのためにやっているのか、そこから理解しましょう。
2. AWSセキュリティの基礎
AWSセキュリティの基礎とはつまり、AWSの基礎とセキュリティの基礎です!
まずセキュリティの基礎として情報セキュリティの3要素が大切です。
- 機密性
- 守るべきものが第三者から見られないようにする
- パスワード設定や暗号化で情報を守る
- 完全性
- 守るべきものが破壊や改ざんされないようにする
- ウイルスや不正アクセスによる改ざんを防ぐ
- 可用性
- 守るべきものを必要なときに利用できるようにする
- システム障害により使えなくならないよう対策する
そして情報セキュリティの責任はすべての人が持つ必要があります。一般の利用者も経営者も責任はあります。ただ、責任範囲はそれぞれ異なるので、自身の必要な範囲の責任を負っていきます。
AWSにおけるセキュリティの責任は「責任共有モデル」で明確化されています。どこまでが自分たちで責任を持つ必要があるか理解して使いましょう。
そして、AWSを使っていく場合はAWSやクラウド特有の下記リスクを理解する必要があります。
- インターネットを経由して利用するサービスであるため、常に外部にさらされるリスクがある
- 設定を誤ってしまうと、AWSのアカウント自体や、AWS上に作成したリソースに第三者が侵入できる可能性がある
- 従量課金であるため、際限なく金銭コストを浪費してしまうリスクがある
- AWS上で非常によくある事故の例としては、1つ目のリスクが顕在化し第三者がAWSアカウントに侵入した後、大量のサーバーを作成されコインマイニングされる
そして、このリスクを低減・防止していくために「アクセス制御」をしていく必要があります。
アクセス制御は当たり前の機能ですが、あたりまえのことをあたりまえにやっていくことがセキュリティ対策です。
3. 最初に知っておくAWSの安全な使い方
詳細は記事を見てくれ!詳細なポリシーやたくさんの参考リンクがあります!
まとめ
AWSセキュリティは簡単ではないですが、これを入口に基礎から勉強して、実践しましょう!
![[登壇レポート] 第28回クラウド女子会 ~夏のLT大会!&AWS BuilderCards v2をプレイしよう~「セッション聴講だけではもったいない! 現地参加者とたくさん話そう!」という内容で登壇しました #cloudgirl #jawsug](https://devio2024-media.developers.io/image/upload/v1752343550/user-gen-eyecatch/e0pfrluvbkumwxp4nsjx.png)
