こんにちは！AWS認定インストラクターの山下光洋です。
もうすぐ、今年のAWS Summi Japan 2025が開催を控えていますね。

昨年、2024年6月20日のAWS Summit Japan 2024で、弊社はAWS Training Partnerとして参加をしてきました。
会場では、100部限定で制作した"AWS豆本"を配布し、大好評！！

ブログでは、その豆本の制作秘話を全7回に渡ってお届けします。
今回は、参加から1年越しで、その4を伝えたいと思ったエピソードと関連サービスをご紹介します。

その1 「迷ったらWell-Architectedな選択肢を選ぶべし！」は、こちらよりご確認ください。
その2 「AWSの気持ちになって考えるべし！」は、こちらよりご確認ください。
その3 「手動のメリットは何もない！」は、こちらよりご確認ください。

AWS豆本とは

AWS豆本とは、弊社が制作したAWS認定試験の受験に役立つ7カ条をまとめたミニブックの総称です。

豆本とは、掌に収まる程度の小さな本の総称である。

引用：ピクシブ百科事典

ということで、掌(手のひら)サイズにぎゅっと必要な情報が集約されています。

実際に制作したAWS豆本がこちら↓

弊社のAWS認定インストラクターが、豪華に表紙(右)も裏表紙(左)も飾っています。

表紙(右 グリーン)：左より髙山、山下
裏表紙(左 白×ピンク)：左上より、小池、金井、海老原、難波、三浦

それでは、以下より当日豆本と一緒にお配りしましたカードと7カ条の制作秘話をご覧ください。

なお、今回の豆本のきっかけは、こちらのその1 迷ったらWell-Architectedな選択肢を選ぶべし！で更に詳しくご紹介しています。ぜひご覧ください。

その4 セキュリティを軽んじるなかれ！

それではAWS認定試験の7カ条を1つずつ背景や意図などを説明します。
その4である今回は「セキュリティを軽んじるなかれ！」です。

試験の問題でも明確に要件として書かれていなくても、リスクがある選択肢と対策されている選択肢では後者を選択するべきです。
要件としてコストや複雑性、パフォーマンスなどがあったとしても、だからといってあからさまなリスクが発生するケースを正解とするような問題は恐らくはないであろうと考えられます。
なぜならば、AWS自身がセキュリティは常に最優先事項と言っているからです。

いくつかのセキュリティ検討不足で発生しうるリスクと、対策の例を解説します。

セキュリティグループのみの保護

パブリックサブネットのEC2インスタンスを、セキュリティグループのみで保護しているケースです。

送信元のPCやサーバーのパブリックIPアドレスのみを、送信元として指定していますので、ほかのIPアドレスからのリクエストはブロックされます。
間違いなくこの設定がされていれば問題はありません。

ですが、設定を誤ってしまうことで、たちまち外部から侵入されてしまいます。
開発者が良かれと思い、自宅からアクセスしようとして、セキュリティグループを変更するかもしれません。
今は必要ない送信元がいつまでも設定されていて、そのIPアドレスが他者にわたり使用されるかもしれません。
シンプルに設定を誤るかもしれません。

このように一層のセキュリティだけでは、そのままでは大丈夫なように思えていても、設定を誤らない可能性を消すことができない限りはリスクがあるということになります。

対策としては、EC2 Instance Connectエンドポイントや、Systems Managerセッションマネージャーを利用するように運用を変更して、EC2インスタンスをプライベートサブネットに移動する方法が検討できます。 

送信元がオンプレミスなどの場合は、VPN接続やDirect Connectも検討できます。

アクセスキーの使用

現在、マネジメントコンソールからIAMユーザーのアクセスキーを作成しようとすると、ユースケースを選択し、それぞれに対して代替案が推奨されます。
それだけ、必要のないアクセスキーが作成されることをAWSも防ぎたいのです。

アクセスキーは認証情報ですので、漏洩するとAWSアカウントに侵入されます。
今でもアクセスキーの漏洩によって、不正アクセスされているセキュリティインシデントのニュースを聞くことがあります。
漏洩しないように守るよりも、まずは作成せずに要件を満たせないかを検討しましょう。

上図にもあるように、CLIを使いたいだけならCloudShellがあります。
Lambdaやコンテナ、EC2などから使いたいのであればIAMロールを設定すれば良いです。
サードパーティサービスは、外部キーを使ってIAMロールに対応しているサービスを選択しましょう。

昨今の生成AIソリューションなど、クライアントで使用するために認証情報が必要であれば、IAM Identity Centerを使用した安全なIAMロールとの連携方法もあります。

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

今回豆本で取り上げているAWSのセキュリティについて、AWSのセキュリティをさらに深く学びたい方やポイントを押さえて学びたい方には、トレノケートが提供するAWS研修の受講がおすすめです。

公開したままのAPI Gateway

API Gateway、Lambda、DynamoDBなどで作成や検証で構築した環境を意味なくパブリックのままにしていないでしょうか？
エンドポイントが公開されていれば、例外なくDDoS攻撃などの対象になります。
もしも攻撃されていなければ運が良いのかもしれません。

リクエストが実行された回数だけ、Lambda、DynamoDB、昨今ですとBedrockを呼び出していればそれらについても料金が発生したり、制限回数を逼迫してしまったりします。

API GatewayにはAPIエンドポイントを保護する機能がありますので、適したものを使用して保護しましょう。
いくつかの例をあげます。

• リソースベースのポリシーでIPアドレスを制限
• CognitoオーソライザーやLambdaオーソライザーで認証済みトークンのみを許可
• AWS WAFを使用してフィルタリング
• 本文を検証してフォーマットや文字列でフィルタリング
• IAMアクセスのみを許可

データベース担当者に公開されている情報

アプリケーションで、電話番号を見ることのできる人は制限されて守られているとします。
データベースでサーバー側暗号化のみがされています。

この状態であれば、データベースの担当者は電話番号が見えてしまいます。
データベース担当者は電話をかけることもないので、電話番号を知る必要はありません。
もしかしたらデータベース担当者のセキュリティ意識が低く、電話番号をメモして持ち帰るかもしれません。
個人的な要件で電話するかもしれません。

そういったことを防ぐためには、アプリケーションでクライアントレベルでの暗号化をしてから、データベースに書き込みます。
電話をかけたり電話番号が必要な人が、アプリケーションからアクセスする際に復号します。
個人情報など特に守るべきデータを、必要ない人には見せないように暗号化によって守ります。

暗号化にはKMS(AWS Key Management Service)を使用すると、可用性の高い暗号化キーを使用でき、キーポリシーによって必要なアプリケーションだけにしっかりと限定できます。
無効化やローテーションなどのコントロールもばっちりです。

「セキュリティを軽んじるなかれ！」を伝えたかった理由

セキュリティは常に最優先事項

「AWSでは、常にセキュリティはビジネスの推進力である」

(引用: https://aws.amazon.com/jp/blogs/news/aws-security-cloud-generative-ai-customer-data/)

昨今の生成AIなど新しい技術を実験したり、新しい製品やサービスを導入する際に、セキュリティが理由で止まってしまう、時間がかかってしまうことがあります。
これはセキュリティが門番のようなブロッカーとなってしまっているケースです。
よくわからないものや不安なものに対して、ノーと言ってしまうのは仕方のないことです。
だからこそ、まずセキュリティを如何にして実装するかを最優先に、関わる全員が考えて取り組むことが重要です。

コストとのトレードオフになることもありますが、このトレードオフは本当にトレードオフしたのでしょうか？
担当部門が「これでいい」「このレベルでいい」で終わらせてしまっていないでしょうか？
セキュリティレベルとしてこれならコストはこれぐらい、というのを段階的に示し経営のトップまでを巻き込んで検討した結果なのでしょうか。

今起こっていないからそれでいい、何か起こったら検討する、それによってできることをやらずに、検討もせずに、発生してしまっているセキュリティインシデントが世界にはたくさんあります。

クラウドが徐々に使われ始めた頃にも、クラウドを勉強していない人ほど、「クラウドは危険」と言っていました。
学ぶことでより良いセキュリティを実装、検討することができ、安心して使用できる安全なシステムを企業に提供でき、サービスをユーザーに提供できます。

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

今回豆本で取り上げているAWSのセキュリティについて、AWSのセキュリティをさらに深く学びたい方やポイントを押さえて学びたい方には、トレノケートが提供するAWS研修の受講がおすすめです。

トレノケートのAWS研修（AWS認定トレーニング）

トレノケートのAWS認定トレーニングでは、AWS社の厳格なテクニカルスキル及びティーチングスキルチェックに合格した認定トレーナーがコースを担当します。AWS初心者向けの研修や、AWS認定資格を目指す人向けの研修をご提供し、皆様のAWS知識修得のサポートをいたします。
・トレノケートのAWS研修（AWS認定トレーニング）はこちら

▼AWS初心者の方は、 AWS Cloud Practitioner Essentials から！
座学中心の研修で、AWSを初めて学ぶ方や、営業などで提案に関わる方におすすめです。
「AWS Certified Cloud Practitioner」資格取得を目指す方の基礎知識修得にも最適です。
→ 詳細・日程はこちらから

▼実践スキルを磨くなら、AWS Technical Essentials で ！
実機演習が中心の研修です。仕事で構築作業を行う方や、シナリオベースの演習を通じて、実際に手を動かしながら各サービスの特徴を学びたい方におすすめのAWS研修です。
→ 詳細・日程はこちらから

いきなりの有償コースに抵抗がある方やまずはお試しをしてみたい方は、トレノケートが実施している無料セミナーがおすすめです。詳細はセミナーページよりご確認ください。

▼無料セミナーの詳細はこちらから