WEBサービスのセキュリティ対策 - 【ディーネット】AWS総合支援サービスのサイト

WEBサービスは常に様々なセキュリティのリスクに晒されています。コストやリスクを考慮しながら、適切な場所で適切な対策を取っていく必要があります。

この記事では、どの場所でどのようなセキュリティ対策が必要かをまとめていきます。主要なセキュリティ対策は次の通りです。

・脆弱性診断
・セキュリティグループ
・AWS WAF
・仮想パッチ
・ウィルス対策
・改ざん検知
・メールフィルタ
・AWS設定

セキュリティリスクを事前に診断する「脆弱性診断」

サービスリリース時には、万全のセキュリティ対策を実施しておきたいところです。脆弱性診断を行うことで、現時点の脆弱な部分をあぶりだし、事前に脅威を取り除くことが可能です。

ネットワーク、アプリケーション、AWS設定など様々なレイヤに対する診断が可能です。リリース前に1回やって終わりではなく、アップデートのタイミングなどで定期的に実施することで、高いセキュリティを維持することが出来ます。

セキュリティグループを利用することで、入り口の段階で不要な通信を遮断することが可能です。いわゆるファイアウォールと呼ばれるものになります。不要な通信は遮断し、必要な通信のみ通すことが出来ます。

外部からの通信を必要最低限に絞ることができ、標準で利用可能なサービスになるので、必ず設定しておきましょう。

WEBサービスであれば、セキュリティグループで「HTTPS通信」を許可する必要があります。しかし許可した「HTTPS通信」が安全なものとは限りません。そこで活躍するのが「Web Application Firewall（WAF）」です。

WAFでは、「HTTPS通信」の中身のチェックを行い、危険なアクセスパターンの検知および遮断を行います。

多くの攻撃は、プログラム側で対策されていれば対策が可能ですが、プログラムも完ぺきではありません。プログラムで対策しつつ、WAFを入れることでより強固なセキュリティ対策を取ることが出来ます。

利用しているOSやミドルウェア、プログラムには必ずと言っていいほど、未発見のセキュリティリスクが潜んでいます。悪意を持った攻撃者は、発見されていないセキュリティリスクを見つけようとしています。WoardPressやApacheなど、有名になればなるほどそのリスクは高くなります。

脆弱性が発見されると、セキュリティパッチの適用や仮想パッチの適用などの対策が必要になります。パッチ適用を行うコストやリスクを考慮して、対策を決定していく必要があります。

悪意のあるユーザーのウィルスファイルアップロードや、WEBサービス管理者の作業用PC乗っ取りなど、サーバーがウィルス感染するリスクについての考慮も必要です。

特に、WEBサービスの利用ユーザーがファイルアップロードすることがあるような場合は、対策の優先度を上げる必要があります。

しっかりと対策をしていても、100%の安全保障はありません。ゼロデイ攻撃など、防ぐことが難しいものもあります。その場合は、いかに早く異常を検知するかが重要になります。

メールは利用ユーザーも多く、利用者のリテラシー教育も必要なため、リスクが高いものになります。可能な限りユーザーに届く前に対策をしたいところです。

メールフィルタサービスを入れることで、ユーザーに届く前に危険なメールを遮断することが可能です。

AWSでは責任共有モデルという概念があります。カンタンに説明すると、「AWSが提供する部分についてはAWSが責任を持ち、ユーザーコンテンツやAWSの利用の仕方はユーザーが責任を持つ。」というような考え方です。

根幹の部分はAWSが強固なセキュリティ基準で対応しています。また、様々なセキュリティ対策に役立つサービスを提供しています。

ユーザーは用意された道具を使いこなす必要があります。使いこなせないと、公開するつもりがなかった個人情報が全世界に共有されてしまった。というようなことになる可能性があるので、しっかりと理解し設定していく必要があります。

この記事ではAWS上でWEBサイトを運営するときに気にすべきセキュリティ対策についてまとめてみました。

セキュリティ対策は費用をかけようと思えばいくらでもかけられる領域です。自社のとって必要な対策を、適切なタイミングで導入できるとよいですね。

まずは、セキュリティ対策にどのようなものがあるのかを把握して、準備をしていきましょう。