AWSにおけるセキュリティについて改めて考えると本質はすごくシンプルだった

AWSにおけるセキュリティについて改めて考えると本質はすごくシンプルだった

セキュリティって本当に難しくて苦手意識を持っている方も少なくないと思います。今回改めてAWSセキュリティについて考えたときに、分かりやすく考えが纏まったのでブログで共有することにしました。なお本記事ではAWS環境を前提に紹介しますが、セキュリティ全般に応用できる考え方です。
Clock Icon2023.05.25

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちはAWS事業本部コンサルティング部のこーへいです。

セキュリティの難しさ

いきなりですが、セキュリティってすごく難しくないですか?

自分はセキュリティに関しては苦手意識が強く、同じくセキュリティに対して苦手意識を持っていらっしゃる方も少なくないと思います。

なぜ苦手意識があるのかを言語化した際に、以下のような理由がありました。

  • セキュリティ分野の範囲が非常に広く、また日々情報が更新されるので学習が追いつかないから
  • 攻撃と対策について、個別パターンごとに学習しようとすると難解な内容も多いから
  • 実際に攻撃を受けて被害が可視化されないと、セキュリティ対策の必要性を実感しづらいから

セキュリティの本質を考えてみる

最近、業務にてセキュリティ分野に携わっていると、ふとした瞬間にセキュリティをお宝で例えてみるとわかりやすいのでは?と思った瞬間がありました。

絵で書き出してみるとすごくシンプルで、実際に分かりやすかったのでセキュリティに対して自分と同じく沼にハマっている方に有益だと思います。

前提:悪い人はいつもお宝を狙っている

悪い人がセキュリティの脆弱性を突いてあなたのAWS環境を攻撃をする理由は、お宝を手に入れるためです

お宝は悪い人にとって何か得をするもので、それはお金かもしれませんし、情報かもしれませんし、名誉かもしれませんし、悪戯欲を満たせるだけかもしれません。

ここではそれらを包括してお宝で例えてみた場合に、悪い人はあなたのAWS環境を「お宝そのものと判断する場合」「つるはし(お宝を手に入れるための道具)と判断する場合」の2パターンに分けられると考えられました。

あなたのAWS環境そのものがお宝の場合

こちらはイメージしやすいと思います。

企業の命運をがかかった機密情報は、悪い人にとっても値千金の情報である可能性が高く、それらを悪い人がお宝と判断した場合はあらゆる手を使いあなたのAWS環境を直接狙ってきます。

例えばS3バケットやRDSに保存されている顧客情報等がこの場合のお宝に該当します。

あなたのAWS環境を"つるはし"として利用する場合

悪い人があなたのAWS環境を利用して、お宝を手に入れるパターンです。

例として以下が挙げられます。

  • ビットコインなどのマイニングを行うために、高スペックのサーバーを何台も建てる
  • 環境内のサーバーをDoS攻撃に参加させる
  • 踏み台サーバーとして利用し、別環境へのサイバー攻撃を仕掛ける
  • etc

つるはし(サーバーなど)そのものに魅力はないですが、そのつるはしを利用することで悪い人がお宝を手に入れることができます。

悪い人のメリットして、「つるはしにかかるコストをあなたに押し付けられる」「つるはしで人を怪我させても責任をあなたに押し付けられる」などのメリットがあります。

例えばマイニングはサーバースペックが高いほど報酬(ビットコインなど)を多くもらえるので、当然悪い人はハイスペックのサーバーを何台も立ててマイニングするのですが、そのサーバー代をあなたに押し付けられることができます。

検証環境用アカウントでは、セキュリティ対策をしなくて良いは半分間違い?!

よくありがちなことで、例えば「検証環境用アカウントなどの機密情報を扱っていないアカウントでは、セキュリティ対策に力を入れなくて良いんじゃないの」という考えがあります。

先ほど、悪い人はあなたのAWS環境を「お宝そのものと判断する場合」「つるはし(お宝を手に入れるための道具)と判断する場合」の2パターンに分けられると考えると申し上げました。

上記の考えでは確かに、機密情報等を扱っていない場合、悪い人はあなたのAWS環境をお宝とは判断しないかもしれません。

一方で、つるはしと判断する場合の危険性は残ったままであり、検証環境用アカウントだからといってセキュリティ対策を杜撰にするのは誤った考えであることがわかります。

本質は「悪い人はお宝を狙っている」という事実

セキュリティに対する学習コストは非常に高いです。

それはITの発展に伴い攻撃手段とその対策も多様に発展してきたからで、全てのパターンを網羅することはほぼ不可能です。

ですが網羅することは不可能なものの、理解のスピードを早めることは可能です。

  • セキュリティ分野の範囲が非常に広く、また日々情報が更新されるので学習が追いつかないから
  • 攻撃と対策について、個別パターンごとに学習しようとすると難解な内容も多いから
  • 実際に攻撃を受けて被害が可視化されないと、セキュリティ対策の必要性を実感しづらいから

上記は先程挙げた自分の考えるセキュリティが難しい理由ですが、今回紹介したように「悪い人はお宝を狙っている」という目的を押さえた上で、改めてセキュリティに向き合ってみると意外としっくり理解できることも増えるのではないでしょうか。

セキュアアカウントの宣伝

クラスメソッドでは、セキュリティに関するベストプラクティスを施した状態のAWSアカウントを、お客様に提供することが可能です。 AWS請求代行サービスにご加入いただいたすべてのお客様に無償で提供しておりますので、ぜひこの機会にご検討ください。

詳細なセキュアアカウントサービスの説明は以下の記事をご参照ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.