こんにちは！AWS認定インストラクターの山下光洋です。
もうすぐ、今年のAWS Summi Japan 2025が開催を控えていますね。

昨年の  AWS Summit Japan 2024 では、AWS Training Partnerとして出展し、会場では100部限定で制作した「AWS豆本」を配布。おかげさまで大変ご好評をいただきました！

このブログでは、その「AWS豆本」の制作秘話を  全7回  にわたってお届けしています。
今回は、参加から1年越しで、その4を伝えたいと思ったエピソードと関連サービスをご紹介します。

制作秘話（バックナンバー）は、以下よりご覧ください。

AWS豆本制作秘話~その1 迷ったらWell-Architectedな選択肢を選ぶべし！~
AWS豆本制作秘話~その2 AWSの気持ちになって考えるべし！
AWS豆本制作秘話~その3 手動のメリットは何もない！
AWS豆本制作秘話~その4 セキュリティを軽んじるなかれ！　←今回！
AWS豆本制作秘話~その5 新しいものは良いものであろう！

AWS豆本とは

AWS豆本とは、弊社が制作したAWS認定試験の受験に役立つ7カ条をまとめたミニブックの総称です。

豆本とは、掌に収まる程度の小さな本の総称である。

引用：ピクシブ百科事典

ということで、掌(手のひら)サイズにぎゅっと必要な情報が集約されています。

実際に制作したAWS豆本がこちら↓

弊社のAWS認定インストラクターが、豪華に表紙(右)も裏表紙(左)も飾っています。

表紙(右 グリーン)：左より髙山、山下
裏表紙(左 白×ピンク)：左上より、小池、金井、海老原、難波、三浦

それでは、以下より当日豆本と一緒にお配りしましたカードと7カ条の制作秘話をご覧ください。

なお、今回の豆本のきっかけは、こちらのその1 迷ったらWell-Architectedな選択肢を選ぶべし！で更に詳しくご紹介しています。ぜひご覧ください。

その4 セキュリティを軽んじるなかれ！

それではAWS認定試験の7カ条を1つずつ背景や意図などを説明します。
その4である今回は「セキュリティを軽んじるなかれ！」です。

試験の問題でも明確に要件として書かれていなくても、リスクがある選択肢と対策されている選択肢では後者を選択するべきです。
要件としてコストや複雑性、パフォーマンスなどがあったとしても、だからといってあからさまなリスクが発生するケースを正解とするような問題は恐らくはないであろうと考えられます。
なぜならば、AWS自身がセキュリティは常に最優先事項と言っているからです。

いくつかのセキュリティ検討不足で発生しうるリスクと、対策の例を解説します。

セキュリティグループのみの保護

パブリックサブネットのEC2インスタンスを、セキュリティグループのみで保護しているケースです。

送信元のPCやサーバーのパブリックIPアドレスのみを、送信元として指定していますので、ほかのIPアドレスからのリクエストはブロックされます。
間違いなくこの設定がされていれば問題はありません。

ですが、設定を誤ってしまうことで、たちまち外部から侵入されてしまいます。
開発者が良かれと思い、自宅からアクセスしようとして、セキュリティグループを変更するかもしれません。
今は必要ない送信元がいつまでも設定されていて、そのIPアドレスが他者にわたり使用されるかもしれません。
シンプルに設定を誤るかもしれません。

このように一層のセキュリティだけでは、そのままでは大丈夫なように思えていても、設定を誤らない可能性を消すことができない限りはリスクがあるということになります。

対策としては、EC2 Instance Connectエンドポイントや、Systems Managerセッションマネージャーを利用するように運用を変更して、EC2インスタンスをプライベートサブネットに移動する方法が検討できます。 

送信元がオンプレミスなどの場合は、VPN接続やDirect Connectも検討できます。

アクセスキーの使用

現在、マネジメントコンソールからIAMユーザーのアクセスキーを作成しようとすると、ユースケースを選択し、それぞれに対して代替案が推奨されます。
それだけ、必要のないアクセスキーが作成されることをAWSも防ぎたいのです。

アクセスキーは認証情報ですので、漏洩するとAWSアカウントに侵入されます。
今でもアクセスキーの漏洩によって、不正アクセスされているセキュリティインシデントのニュースを聞くことがあります。
漏洩しないように守るよりも、まずは作成せずに要件を満たせないかを検討しましょう。

上図にもあるように、CLIを使いたいだけならCloudShellがあります。
Lambdaやコンテナ、EC2などから使いたいのであればIAMロールを設定すれば良いです。
サードパーティサービスは、外部キーを使ってIAMロールに対応しているサービスを選択しましょう。

昨今の生成AIソリューションなど、クライアントで使用するために認証情報が必要であれば、IAM Identity Centerを使用した安全なIAMロールとの連携方法もあります。

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

今回豆本で取り上げているAWSのセキュリティについて、AWSのセキュリティをさらに深く学びたい方やポイントを押さえて学びたい方には、トレノケートが提供するAWS研修の受講がおすすめです。

公開したままのAPI Gateway

API Gateway、Lambda、DynamoDBなどで作成や検証で構築した環境を意味なくパブリックのままにしていないでしょうか？
エンドポイントが公開されていれば、例外なくDDoS攻撃などの対象になります。
もしも攻撃されていなければ運が良いのかもしれません。

リクエストが実行された回数だけ、Lambda、DynamoDB、昨今ですとBedrockを呼び出していればそれらについても料金が発生したり、制限回数を逼迫してしまったりします。

API GatewayにはAPIエンドポイントを保護する機能がありますので、適したものを使用して保護しましょう。
いくつかの例をあげます。

• リソースベースのポリシーでIPアドレスを制限
• CognitoオーソライザーやLambdaオーソライザーで認証済みトークンのみを許可
• AWS WAFを使用してフィルタリング
• 本文を検証してフォーマットや文字列でフィルタリング
• IAMアクセスのみを許可

データベース担当者に公開されている情報

アプリケーションで、電話番号を見ることのできる人は制限されて守られているとします。
データベースでサーバー側暗号化のみがされています。

この状態であれば、データベースの担当者は電話番号が見えてしまいます。
データベース担当者は電話をかけることもないので、電話番号を知る必要はありません。
もしかしたらデータベース担当者のセキュリティ意識が低く、電話番号をメモして持ち帰るかもしれません。
個人的な要件で電話するかもしれません。

そういったことを防ぐためには、アプリケーションでクライアントレベルでの暗号化をしてから、データベースに書き込みます。
電話をかけたり電話番号が必要な人が、アプリケーションからアクセスする際に復号します。
個人情報など特に守るべきデータを、必要ない人には見せないように暗号化によって守ります。

暗号化にはKMS(AWS Key Management Service)を使用すると、可用性の高い暗号化キーを使用でき、キーポリシーによって必要なアプリケーションだけにしっかりと限定できます。
無効化やローテーションなどのコントロールもばっちりです。

「セキュリティを軽んじるなかれ！」を伝えたかった理由

セキュリティは常に最優先事項

「AWSでは、常にセキュリティはビジネスの推進力である」

(引用: https://aws.amazon.com/jp/blogs/news/aws-security-cloud-generative-ai-customer-data/)

昨今の生成AIなど新しい技術を実験したり、新しい製品やサービスを導入する際に、セキュリティが理由で止まってしまう、時間がかかってしまうことがあります。
これはセキュリティが門番のようなブロッカーとなってしまっているケースです。
よくわからないものや不安なものに対して、ノーと言ってしまうのは仕方のないことです。
だからこそ、まずセキュリティを如何にして実装するかを最優先に、関わる全員が考えて取り組むことが重要です。

コストとのトレードオフになることもありますが、このトレードオフは本当にトレードオフしたのでしょうか？
担当部門が「これでいい」「このレベルでいい」で終わらせてしまっていないでしょうか？
セキュリティレベルとしてこれならコストはこれぐらい、というのを段階的に示し経営のトップまでを巻き込んで検討した結果なのでしょうか。

今起こっていないからそれでいい、何か起こったら検討する、それによってできることをやらずに、検討もせずに、発生してしまっているセキュリティインシデントが世界にはたくさんあります。

クラウドが徐々に使われ始めた頃にも、クラウドを勉強していない人ほど、「クラウドは危険」と言っていました。
学ぶことでより良いセキュリティを実装、検討することができ、安心して使用できる安全なシステムを企業に提供でき、サービスをユーザーに提供できます。

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

今回豆本で取り上げているAWSのセキュリティについて、AWSのセキュリティをさらに深く学びたい方やポイントを押さえて学びたい方には、トレノケートが提供するAWS研修の受講がおすすめです。

トレノケートのAWS研修（AWS認定トレーニング）

AWSのサービスは日々進化しています。   「使ったことがないから」という理由だけで新しい技術を避けるのは、せっかくの選択肢を狭めてしまうもったいない判断です。

技術は「変わる」のではなく「増える」もの。新しい知識は、これまでのスキルを補強する財産になります。

弊社では、AWS初心者から経験者、実務エンジニアまで対応した研修をご用意しています。

経験がないなら、まずは使ってみる・検証してみる。そのお手伝いをさせてください。

■【人気No.1！AWS初心者にも】AWS Cloud Practitioner Essentials
座学中心の1日研修で、AWSを初めて学ぶ方や、営業などで提案に関わる方に。
「AWS Certified Cloud Practitioner」資格取得を目指す方の基礎知識修得にも最適です。

▼研修の詳細はこちらから 
AWS Cloud Practitioner Essentials
AWS Cloud Practitioner Essentials (バウチャ付)

■【実践スキルを磨く】AWS Technical Essentials
AWS でシステムを構築、運用する演習（ラボ）中心の1日研修。
仕事で構築作業を行う方や、シナリオベースの演習を通じて、実際に手を動かしながら各サービスの特徴を学びたい方におすすめです。

▼研修の詳細はこちらから 
AWS Technical Essentials

■【AWSをとことん触れて学ぶ3日間】Architecting on AWS
キャンセル待ち多数。AWSクラウド環境でのインフラ、アプリケーションの設計の基本を体系的に学びます。
実機演習や、グループディスカッションを通じて実践的な知識とスキルUP！

▼研修の詳細はこちらから 
Architecting on AWS (バウチャなし)
Architecting on AWS (バウチャ付)

AWSの設計・構築スキルを体系的に高めたい方へ。トレノケートでは、実務経験豊富なAWS認定インストラクターが、初心者から現場で活躍するエンジニアまで、アーキテクチャ設計やマネージドサービスの活用など、現場で役立つ技術習得を多数のラインアップでサポートいたします。

▼詳細はこちらから 

AWS研修（AWS認定トレーニング）｜AWS資格取得や基礎習得ならIT研修のトレノケート

トレノケートでは、実際に研修を実施する各種インストラクターが無料セミナーを実施しています。
詳細は下記よりご確認ください。

トレノケート  セミナー一覧ページ