セキュリティの
学び場

従来のネットワーク防御

オンプレミスでは、外部からの攻撃を防ぐために「境界型防御」と呼ばれる方法で対策をとります。組織の外部とのネットワーク境界にファイアウォールを設置し、パケットのフィルタリングやDMZ（非武装地帯）の構成により、既定のルールに基づいたネットワーク制御が行われます。意図しないパケットが内部に流れ込まないようにすることで、システムを保護するようになっています。

オンプレミスとクラウドの違い

クラウド環境ではシステム要素であるインスタンスの構成が動的に変動します。環境設定はオンプレミスと比べて変更がたやすいため、たびたびミスによる誤設定が生じます。さらに、各インスタンスは特定のゲートウェイを境界にもつとは限らず、直接、外部ネットワークからアクセスできるようになっている場合もあります。

そのため、ネットワーク境界において静的ルールに基づきパケットを制御するような従来の方法では、システムを外部の脅威から守ることが難しくなっています。

クラウド環境の守り方

こうしたことから、クラウド環境でのネットワーク防御はオンプレミスと異なる考え方で行う必要があります。AWSを例とすると、クラウド環境におけるネットワークのセキュリティ対策には以下の4つが挙げられます。

人の移動に制限のかかる現代において高まるクラウド使用の需要

データセンターとクラウドを比較した場合、クラウドのワークロードが上回ることは社会的な背景からも読み取れます。例えば、データセンターにオンプレミスのサーバを設置する場合、事前に入館申請を行って、当日は本人確認を行い、ラックの鍵を借りてサーバを設置します。データセンターで作業したことはない人でも、結構時間がかかりそうだなと思われたのではないでしょうか。さらに、パンデミックで人の移動が制限されている社会では、オンプレミスの活用自体が難しくなります。そのような状況でクラウドのワークロードが増加することは、ある意味必然であると言っても過言ではありません。

簡単に始められるがゆえセキュリティ対策はしっかりと

データセンターで必要とされていた入館申請や本人確認、ラックの開錠などが、ブラウザから管理画面へアクセスして、認証や権限、ポリシーの設定などによって世界中のどこにいても24時間いつでも作業が可能になります。ただし、繰り返しになりますが、簡単に使い始められるということは、セキュリティの設定が見逃される可能性があることについては、すべてのクラウド利用者が特に気を付ける必要があります。

ネットワークACL

ネットワークACLは、各サブネットを出入りするパケットに対してルールを定め、IPアドレスやポートに基づき制御を行います。この機能は境界型防御におけるパケットフィルタリングに相当するものといえます。

セキュリティグループ

セキュリティグループは、各インスタンスにおいて許可されるパケットのルールを定義する機能です。最低限の通信のみを許可することにより、想定していない通信相手や通信方向を制限し、攻撃ベクトルを限定します。この機能を主として、追加防御としてネットワークACLを設定することが基本的な対策のありかたとなります。

各インスタンスの公開設定

先に述べたように、クラウド設定には誤りが起こりやすいため、インスタンスごとの設定を確認して公開を最小限にする多層防御も重要な対策となります。S3バケットのパブリックアクセス設定やRDSのパブリックアクセシビリティ設定等、各サービスの設定を定期的に確認しましょう。

ネットワークの監視

設定を行った上で更に重要となるのは、想定していない通信の発生を検知することです。フローログを使って通信量を監視すると、拒否された通信の増加から異変を見つけることなどが期待できます。

これらの対策を組み合わせることで、オンプレミスに劣らないネットワーク防御がクラウド環境で実現できます。