AWS Backup のセキュリティに関するベストプラクティス

AWSは、コンピューティング、ストレージ、分析などの分野において、数多くのクラウドベースの製品を提供しています。その中でも、組織がバックアップストレージとしてよく利用しているのが、クラウド上のオブジェクトストレージであるAmazon S3と、EC2ボリュームおよびそのバックアップを保存するためのAmazon Elastic Block Store(EBS)の2つです。

クラウドストレージプラットフォームは、"3-2-1"データ保護アプローチの実装に最適です。また、AWSは、異なる地理的リージョンにわたる地理的冗長性により、卓越した可用性と耐障害性を提供するため、ストレージリソースとコンピューティングリソースの両方において優れた選択肢となります。お住まいの地域で災害が発生し、データセンターが被害を受けることを心配する必要はありません。データのコピーは世界中に分散されているからです。

しかし、新たなサイバー脅威が急速に進化している中、クラウドにおけるセキュリティインシデントの大部分はクラウドプロバイダーではなく顧客側の過失によって発生しているため、組織側の潜在的なリスクを軽減するために、クラウドバックアップにおけるAWSのセキュリティベストプラクティスをどのように実装できるかを理解することが重要です。本記事では、さまざまなAWSストレージ製品向けのすべてのセキュリティオプションと、それらを活用する方法について詳しく解説しています。

NAKIVO for AWS EC2 バックアップ

Amazon EC2インスタンスのEC2、AWS S3、およびオンプレミスへのバックアップ。ランサムウェア対策オプション。インスタンスおよびアプリケーションオブジェクトの迅速な復旧。

ソリューションを見る

AWSの共同責任モデル

AWSのクラウドストレージオプションを利用する場合でも、インフラストラクチャ全体をAmazon EC2に移行する場合でも、AWSのバックアップセキュリティについて誰が責任を負うかを理解するためには、AWSの責任分担モデルを把握しておく必要があります。責任の一部はクラウドプロバイダーが負っており、特にクラウドプラットフォームのセキュリティと可用性に関してはそうです。しかし、ワークロードやデータに対するその他の多くの脅威からの保護については、依然としてお客様、つまり顧客の責任となります。

ほとんどのクラウドプロバイダーと同様に、データセキュリティの責任はAWSとクラウド顧客の間で分担されています。クラウドプロバイダーとして、AmazonはAWSインフラストラクチャのセキュリティに対する責任を負います。プラットフォームのセキュリティは、顧客の重要なデータやアプリケーションを保護するために不可欠です。AWSは不正や悪用を検知し、その事象を顧客に通知します。

一方、顧客はAWS内で使用する製品のセキュリティ設定について責任を負います。組織内外からの機密データへのアクセスが適切に制限されていることを確認し、推奨されるデータ保護ポリシーを適用する必要があります。

AWS Backup のストレージオプション

AWSは主に2つのクラウドプラットフォームを提供しています: さまざまなユースケースにおけるAmazon S3とAmazon EC2Amazon EC2 コンピューティング製品は、Elastic Block Store(EBS)ストレージプラットフォームを利用しています。

• Amazon Simple Storage Service または Amazon S3 これは、Webやモバイルアプリケーション、Webサイト、あるいはIoT(モノのインターネット)センサーからのデータなど、あらゆるソースからのデータを保存するために設計されたオブジェクトストレージプラットフォームです。また、仮想マシンやAmazon EC2インスタンスのバックアップおよびバックアップコピーの保存先としても、非常に人気のある選択肢となっています。

• Amazon Elastic Block Store (EBS) Amazonが設計したもので、Amazon Elastic Cloud(Amazon EC2)上のワークロード向けに永続的なブロックストレージボリュームを提供します。

Amazon EC2インスタンスのバックアップ戦略では、これら2つのバックアップストレージオプションを組み合わせて利用することがよくあります。具体的には、インスタンスのバックアップをAmazon EBSに送信するとともに、信頼性を高めるためにAmazon S3に保存するバックアップコピーを作成することができます。

バックアップに関するAWSクラウドセキュリティのベストプラクティス

AWSには多種多様なサービスがありますが、主なものはElastic Compute Cloud(EC2)、Amazon S3、そしてパブリッククラウド内にホストされる隔離されたプライベートクラウドであるAmazon Virtual Private Cloud(VPC)です。

前述の通り、共同責任モデルでは、セキュリティ対策の設定に関する全責任が顧客に課されます。AWS上のデータを確実に保護し、安全に保つためには、以下の5つの主要分野におけるベストプラクティスに従ってください:

• セキュリティ監視
• アカウントのセキュリティ
• セキュリティ設定
• 非活動法人の管理
• アクセス制限

また、個々のAmazonサービスごとに、AWSのセキュリティに関するベストプラクティスを導入することも検討してください:

• Amazon S3
• Amazon EC2
• Amazon VPC

セキュリティ監視

セキュリティ監視は、AWSセキュリティのベストプラクティスの一つです。これにより、不審な事象を適時に検知し、データ保護に関連する問題を未然に防ぐことができるからです。

1. CloudTrail を有効にします。 CloudTrailサービスは、IAMやCloudFrontなど、特定のリージョンに限定されないサービスを含め、すべてのAmazon Web Services(AWS)サービスのログを生成します。
2. CloudTrailのログファイル検証を使用する。 この機能は、ログファイルの完全性を保護するための追加のセキュリティ層として機能します。ログファイルの検証を有効にすると、Amazon S3バケットへの配信後にログファイルに加えられた変更はすべて追跡可能になります。
3. CloudTrailのマルチリージョンログ記録を有効にする。 CloudTrailはAWSのAPI呼び出し履歴を提供し、セキュリティアナリストがAWS環境の変化を追跡し、コンプライアンスの監査を行い、インシデントを調査し、AWSにおけるセキュリティのベストプラクティスが確実に遵守されていることを確認できるようにします。すべてのリージョンでCloudTrailを有効にすることで、組織は通常使用されていないリージョンにおける予期せぬ活動や不審な活動を検知することができます。
4. CloudTrail サービスを CloudWatch と連携させる。 CloudWatchコンポーネントは、EC2インスタンス、CloudTrail、およびその他のソースからのログファイルを継続的に監視します。また、CloudWatchはメトリクスを収集・追跡することで、脅威を迅速に検知するのに役立ちます。この統合により、ユーザー、API、リソース、IPアドレスに関連するアクティビティのリアルタイムおよび履歴ログの記録が可能になります。異常または不審なアカウントアクティビティに対して、アラームや通知を設定することができます。
5. CloudTrailのS3バケットに対するアクセスログの記録を有効にする。 この機能は、攻撃者によるCloudTrail S3バケットへのさらなる侵入を防ぐために設計されています。これらのログには、CloudTrailによって収集されたログデータが含まれており、アクティビティの監視やインシデントの調査に利用されます。CloudTrail S3バケットへのアクセスログ記録を有効にしておいてください。これにより、アクセス要求を追跡し、不正なアクセス試行を迅速に検知することができます。
6. Elastic Load Balancer(ELB)のアクセスログ機能を有効にする。 ELBのアクセスログ機能を有効にすると、ELBは各TCPまたはHTTPリクエストに関する情報を記録・保存できるようになります。このデータは、セキュリティ担当者やトラブルシューティングの専門家にとって非常に有用です。例えば、特定の種類の攻撃を示唆するトラフィックパターンを分析する際、ELBのログデータが役立ちます。
7. Redshiftの監査ログ機能を有効にします。 Amazon Redshiftは、データベース内で行われたクエリや接続などのユーザーアクティビティの詳細を記録するAWSサービスです。Redshiftを有効にすることで、特定のデータベースに対して監査を実施したり、インシデント発生後のフォレンジック調査を支援したりすることができます。
8. 仮想プライベートクラウド(VPC)のフローロギングを有効にします。 VPCフローロギングは、VPCのネットワークトラフィックを可視化するネットワーク監視サービスです。この機能を利用することで、異常または不審なトラフィックを検知し、セキュリティに関する洞察を得て、異常なアクティビティを通知することができます。VPCフローロギングを有効にすることで、異常なデータ転送量、拒否された接続要求、過度に許可範囲の広いセキュリティグループやネットワークアクセス制御リスト(ACL)など、セキュリティやアクセスに関する問題を特定することが可能になります。

AWSアカウントのセキュリティに関するベストプラクティス

ユーザーアカウントが容易に侵害されないよう、適切に保護することが重要です。そのためには、以下のAWSアカウントセキュリティのベストプラクティスに従ってください。

1. CloudTrail S3 バケットを削除する際の多要素認証(MFA)。 AWSアカウントが侵害された場合、攻撃者がまず行う可能性が高いのは、侵入の痕跡を消し、検知を遅らせるためにCloudTrailのログを削除することです。CloudTrailのログが保存されているS3バケットを削除する際に多要素認証(MFA)を設定しておけば、ハッカーによるログ削除を大幅に困難にし、その結果、攻撃が気づかれずに済む可能性を低減できます。
2. rootアカウントのMFA。 AWSへのサインアップ時に最初に作成されるユーザーアカウントは、ルートアカウントと呼ばれます。ルートアカウントは最も権限の高いユーザータイプであり、すべてのAWSリソースにアクセスできます。そのため、ルートアカウントにはできるだけ早くMFAを有効にする必要があります。 ルートアカウントのMFAに関するAWSのセキュリティベストプラクティスの一つとして、認証情報をユーザーの個人用デバイスに保存しないことが挙げられます。そのためには、遠隔地に保管する専用のモバイルデバイスを用意する必要があります。これにより、保護の層が追加され、誰の個人用デバイスが紛失または破損しても、ルートアカウントに常にアクセスできるようになります。
3. IAMユーザー向けのMFA。 アカウントが不正アクセスを受けた場合、多要素認証(MFA)が最後の防衛線となります。アイデンティティおよびアクセス管理(IAM)サービスのコンソールパスワードを所有するすべてのユーザーに対し、MFAの実施を義務付ける必要があります。
4. IAMユーザー向けのマルチモードアクセス。 IAMユーザーに対してマルチモードアクセスを有効にすると、ユーザーを"APIアクセス権を持つアプリケーションユーザー"と"コンソールアクセス権を持つ管理者"の2つのグループに分けることができます。これにより、IAMユーザーの認証情報(アクセスキーやパスワード)が漏洩した場合でも、不正アクセスされるリスクを軽減できます。
5. グループまたはロールに割り当てられたIAMポリシー。 ポリシーや権限をユーザーに直接割り当てないでください。代わりに、グループやロールレベルでユーザーの権限を付与してください。この方法により、権限の管理がより簡単かつ便利になります。また、個々のユーザーが誤って過剰な権限や特権を付与されてしまうリスクも軽減できます。
6. IAMアクセスキーを定期的に更新する。 アクセス用鍵ペアの更新頻度が高ければ高いほど、鍵の紛失や盗難によってデータが不正にアクセスされるリスクは低くなります。
7. 厳格なパスワードポリシー。 当然のことながら、ユーザーは単純すぎるパスワードを設定しがちです。これは、覚えやすいものを求めているためです。しかし、そのようなパスワードは、他者にも容易に推測されてしまうことがよくあります。 厳格なパスワードポリシーを導入・維持することは、ブルートフォース攻撃からアカウントを保護するための、もう一つのAWSセキュリティのベストプラクティスです。ポリシーの詳細は異なる場合がありますが、パスワードには少なくとも大文字1文字、小文字1文字、数字1桁、記号1つを含め、かつ14文字以上とすることを義務付けるべきです。

AWSにおけるセキュリティのベストプラクティスの設定

バックアップを含め、AWS上のデータを保護するためのセキュリティ設定を行ってください。

1. CloudTrail S3 バケットへのアクセスを制限する。 いかなるユーザーアカウントや管理者アカウントに対しても、CloudTrailログへのアクセスを許可しないでください。その理由は、これらのアカウントは常にフィッシング攻撃の標的となるリスクがあるからです。業務上その機能が必要なユーザーのみにアクセスを制限してください。そうすることで、不必要なアクセスが発生する可能性を低減できます。
2. CloudTrailログファイルの暗号化. 保存中のCloudTrailログファイルを復号するには、2つの要件があります。まず、Customer Master Keysポリシーによって復号権限が設定されている必要があります。次に、Amazon S3バケットへのアクセス権限が付与されている必要があります。これらの権限は、関連する職務を持つユーザーのみに付与されるべきです。
3. EBSデータベースの暗号化。 EBSデータベースを暗号化することで、セキュリティがさらに強化されます。ただし、これはEBSボリュームの作成時のみ設定可能であり、後から暗号化を有効にすることはできません。したがって、暗号化されていないボリュームがある場合は、新しい暗号化ボリュームを作成し、既存のボリュームからデータを移行する必要があります。
4. EC2セキュリティグループの開放ポート範囲を縮小する。 開いているポートの数が多ければ多いほど、ポートスキャンを行う攻撃者に対して脆弱性が露呈しやすくなります。
5. アクセスを制限するためのEC2セキュリティグループの設定。 EC2インスタンスへのアクセス権限を過度に付与することは避けるべきです。EC2インスタンスへのアクセスに広範囲のIPアドレスを許可してはいけません。その代わりに、アクセスリストには具体的なIPアドレスを厳密に指定してください。以下の手順に従ってください AWSセキュリティグループのベストプラクティス.
6. rootユーザーアカウントの使用を避ける。 AWSアカウントを作成すると、登録したメールアドレスとパスワードが自動的にルートユーザーアカウントとして設定されます。ルートユーザーはシステム内で最も権限の高いユーザーであり、AWSアカウント内のすべてのサービスやリソースに例外なくアクセスできます。ベストプラクティスとしては、最初のIAMユーザーを作成する際にのみこのアカウントを使用し、その後はルートユーザーの認証情報を安全な場所に保管し、誰もアクセスできないようにしておくべきです。
7. 安全なSSLバージョンと暗号化方式を使用する。 クライアントとElastic Load Balancing(ELB)システム間の接続を確立する際は、古いバージョンのSSLや非推奨の暗号スイートの使用を避けてください。これらを使用すると、クライアントとロードバランサー間の接続が安全でなくなる可能性があります。
8. Amazon Relational Database Service (RDS) の暗号化。 Amazon RDS を暗号化することで、セキュリティがさらに強化されます。以下の方法を使用することをお勧めします。 AWS RDS のセキュリティに関するベストプラクティス.
9. rootアカウントでのアクセスキーの使用を避ける。 権限とアクセスキーが制限された、ロールベースのアカウントを作成してください。ルートアカウントでアクセスキーを使用することは絶対に避けてください。そうしないと、アカウントが侵害される原因となります。
10. SSHキーを定期的に更新する。 SSHキーを定期的に更新してください。このAWSのセキュリティに関するベストプラクティスにより、従業員が誤って、あるいは不注意によりSSHキーを共有してしまうことによるリスクを軽減できます。
11. 個別のセキュリティグループの数を最小限に抑える。 組織は、個別のセキュリティグループの数を可能な限り少なく抑えるべきです。これにより、設定ミスのリスクを低減でき、アカウントの乗っ取りを防ぐことができます。これは、AWSセキュリティグループのベストプラクティスの一つです。

非活動法人の管理

非アクティブなエンティティの管理および削除は重要です。なぜなら、こうしたエンティティが第三者によって不正アクセスに悪用される可能性があるからです。

1. IAMグループの数を最小限に抑える. 使用されていない、または古いIAMグループを削除することで、古いセキュリティ設定が適用された状態で誤って新しいエンティティをプロビジョニングしてしまうリスクを軽減できます。
2. 未使用のアクセスキーの削除. AWSのセキュリティに関するベストプラクティスでは、30日以上使用されていないアクセスキーは削除すべきとされています。使用されていないアクセスキーを長期間放置しておくと、アカウントの不正利用や内部者による脅威のリスクが高まることは避けられません。
3. 非アクティブなIAMユーザーのアクセス権を無効にする。 同様に、90日以上ログインしていないIAMユーザーのアカウントは無効化すべきです。これにより、放置されたり使われていないアカウントが不正アクセスを受けるリスクを低減できます。
4. 使用されていないSSH公開鍵の削除。 使用されていないSSH公開鍵を削除し、制限のない場所からのSSHによる不正アクセスのリスクを低減してください。

アクセス制限

アクセス制限は、AWSのセキュリティに関するベストプラクティスのひとつであり、AWSに保存されたデータが侵害されるリスクを最小限に抑え、セキュリティレベルを向上させることができます。

1. Amazon Machine Image(AMI)へのアクセスを制限する。 Amazon Machine Image(AMI)へのアクセスを公開すると、そのAMIは"コミュニティAMI"として利用可能になります。そこでは、AWSアカウントを持つコミュニティのメンバーなら誰でも、そのAMIを使用してEC2インスタンスを起動できます。AMIには、設定情報やアプリケーションデータを含む、組織固有のアプリケーションのスナップショットが含まれていることがよくあります。AMIへのアクセスは慎重に制限することを強く推奨します。
2. 使用頻度の低いポートへのインバウンドアクセスを制限する。 使用頻度の低いポートへのアクセスは制限してください。これらは、悪意のある活動(ブルートフォース攻撃、ハッキング、DDoS攻撃など)の潜在的な弱点となる可能性があるためです。
3. EC2セキュリティグループへのアクセスを制限する。 EC2のセキュリティグループへのアクセスは制限する必要があります。これにより、悪意のある活動へのさらされるリスクをさらに防ぐことができます。
4. RDSインスタンスへのアクセスを制限する。 RDSインスタンスへのアクセス権限があると、インターネット上のあらゆる主体がデータベースに接続できるようになります。アクセス制限が不十分な場合、組織はSQLインジェクション、ブルートフォース攻撃、ハッキングなどの悪意のある攻撃の標的となるリスクがあります。
5. 外部へのアクセス制限。 ポートからの制限のない外部へのアクセスは、組織をサイバー脅威にさらす恐れがあります。アクセスを許可するのは、特定のポートや特定の宛先など、指定された対象に限定する必要があります。
6. よく知られたプロトコルポートへのアクセスを制限する。 よく知られたポートへのアクセスは制限する必要があります。これらを管理しないままにしておくと、組織が不正なデータアクセスにさらされることになります。例えば、ポート445経由のCIFS、ポート20/21経由のFTP、ポート3306経由のMySQLなどが挙げられます。

AWS S3 のセキュリティに関するベストプラクティス

バックアップの保存先として最も一般的なクラウドストレージの一つであるため、以下の点を理解しておく必要があります Amazon S3の仕組み また、AWS S3のセキュリティに関するベストプラクティスも考慮してください。

1. バージョン管理を有効にします。 バージョン管理機能を使用すると、オブジェクトに変更を加えた後も、S3バケット内にそのオブジェクトの複数のバージョンを保持することができます。バケット内のオブジェクトに意図しない変更が加えられた場合でも、以前のバージョンのオブジェクトを復元することができます。
2. 不変(WORM)ストレージを使用する。 Amazon S3は、S3バケット内のデータにアクセスするためのWORM(Write Once Read Many)モデルをサポートしています。このアプローチにより、ユーザーによる誤った削除や、ランサムウェアやその他のマルウェアによる意図的な削除からデータを保護することができます。バックアップを不変ストレージに保存することで、AWSバックアップのセキュリティが大幅に向上します。
3. Amazon S3のパブリックバケットをブロックする。 AWS S3に保存したバックアップを含むデータへの不正アクセスを防ぐため、S3バケットへの一般公開を制限してください。この設定は、アカウント単位および個々のバケット単位で設定できます。

AWS EC2 のセキュリティに関するベストプラクティス

さまざまなAWS EC2インスタンス EBSボリュームを使用したバックアップは、Amazonクラウドにバックアップを保存するもう1つの方法です。AWS EC2クラウドで作成したバックアップを保護するために、これらのAWS EC2セキュリティのベストプラクティスを参考にしてください。

1. アクセスキーペアの保護。 Amazon EC2 インスタンスにアクセスするために生成された鍵ペア(AWS EC2 における認証情報となる公開鍵と秘密鍵)を保護してください。これらの認証情報にアクセスでき、かつインスタンス ID を知っている者であれば、誰でもそのインスタンスおよびそこに含まれるデータにアクセスできてしまいます。また、この鍵は EC2 インスタンスの作成時に 1 回のみダウンロード可能であり、AWS 内に秘密鍵のコピーは保存されない点にもご注意ください。ダウンロード後は、この鍵を安全な場所に保管してください。
2. 更新プログラムのインストール中。 Amazon EC2インスタンス上で実行されているWindowsなどのゲストOSに、セキュリティ更新プログラムを適用し、ドライバを更新します。
3. 個別のEBSボリュームを使用する。 EBSボリュームは、AWSのEC2インスタンス用の仮想ディスクです。オペレーティングシステムの実行用とバックアップの保存用には、それぞれ別のEBSボリュームを使用してください。EC2インスタンスの終了後も、バックアップデータが保存されたEBSボリュームが確実に保持されるようにしてください。
4. 一時的なアクセス権の設定。 一時的なアクセス権限を付与するために、EC2インスタンスやAMIにセキュリティキーを配置しないでください。一時的なアクセス権限を付与する必要がある場合は、有効期間が短い一時的なアクセス資格情報を使用してください。インスタンスロールを使用してください。

AWS VPC セキュリティのベストプラクティス

Amazon Virtual Private Cloud(VPC)は、指定したネットワーク構成で隔離できるクラウド環境です。AWS内のこの論理的に隔離された環境(非パブリッククラウド)は、より高いセキュリティレベルでバックアップを保存するために利用できます。

VPCに保存されたバックアップを保護するには、以下のAWS VPCセキュリティのベストプラクティスを参照してください:

• VPCにサブネットを追加する際は、高可用性を確保するために複数のアベイラビリティゾーンを使用してください。
• サブネットへのアクセスを制御するには、ネットワークアクセス制御リスト(ACL)を使用します。
• セキュリティグループを使用して、サブネット内のEC2インスタンスへのトラフィックを制御します。
• VCフローログを使用して、VPCで生成されたイベントを確認します。
• 開発、テスト、バックアップなどのVPC環境を分離してください。

AWSにおけるクラウドデータセキュリティのその他のベストプラクティス

他にも、複数のカテゴリにまたがって一度に実施できるAWSのセキュリティに関するベストプラクティスがあります:

1. 統合セキュリティアプローチの活用。 AWSクラウドとオンプレミスサーバーのセキュリティには、統一されたアプローチを採用してください。AWS環境とオンプレミス環境のセキュリティ対策に違いがあると、いずれか一方にセキュリティ上の脆弱性が生じる可能性があります。その結果、両環境はネットワークを介して相互に接続されているため、双方ともに脆弱な状態となってしまいます。
2. バックアップジョブの自動化。 専用のデータ保護ソフトウェアを使用して、データをAWSに自動的にバックアップします。AWSバックアップのセキュリティを最大限に高めるには、バックアップとバックアップコピーを定期的に実行するようにスケジュールし、Amazon S3バケットに保存するようにしてください。

NAKIVO Backup & Replication は、以下の機能をサポートする万能なソリューションです Amazon EC2のバックアップ／レプリケーション そして Amazon S3へのバックアップ:

• Amazon EC2インスタンスの段階的かつ継続的なバックアップ
• ポリシーベースのバックアップ／レプリケーション、高度なスケジューリング、およびバックアップチェーン機能など、多彩な自動化機能により、プライマリバックアップの成功後にAmazon S3へ自動的にバックアップコピーを作成します
• S3 Object Lockと連携し、Amazon S3バケット内に不変でランサムウェアに強いバックアップを作成します

1年間の無料データ保護: NAKIVO Backup & Replication

2分で導入でき、仮想環境、クラウド、物理環境、SaaSのデータを保護します。バックアップ、レプリケーション、即時復旧のオプションをご用意しています。

無料版を入手する