Slide 1
Slide 1 text
初めてAWSを使うときの
セキュリティ覚書
〜初心者支部編〜
2025/09/11
1
Slide 2
Slide 2 text
2
こんにちは、臼田です。
みなさん、
AWSのセキュリティ対策してますか?(挨拶
Slide 3
Slide 3 text
3
自己紹介
臼田佳祐(うすだけいすけ)
・クラスメソッド株式会社 / クラウド事業本部
シニアソリューションアーキテクト
セキュリティチームリーダー
2021 APN Ambassador
2024 APN AWS Top Engineers (Security)
AWS Security Hero (2023~)
・CISSP
・Security-JAWS運営
・好きなサービス:
Amazon GuardDuty
AWS Security Hub
Amazon Detective
みんなのAWS
(技術評論社)
Amazon GuardDuty AWS Security Hub Amazon Detective
Slide 4
Slide 4 text
4
セキュリティ初心者向けの内容
というわけで参加者アンケート!
Slide 5
Slide 5 text
5
参加者アンケート
1. 普段からセキュリティに関わっている方
2. JAWS-UG初心者支部に初参加の方
3. JAWS-UGのイベント自体始めての方
Slide 6
Slide 6 text
6
セッションの聞き方
思ったことをガンガンつぶやこう!
ハッシュタグ: #jawsug_bgnr
Slide 7
Slide 7 text
7
概要
Slide 8
Slide 8 text
8
AWSセキュリティの基礎の話
AWSのセキュリティ対策をしていくには
まず基礎が大切
初めての方もそうでない方も
AWSとセキュリティの基礎を押さえよう
Slide 9
Slide 9 text
9
本日の内容
初めてAWSを使うとき
のセキュリティ覚書
〜利用者編〜を
抜粋して解説します
詳細は記事があるので
聞くのに集中しておk
Slide 10
Slide 10 text
10
アジェンダ
1. AWSセキュリティとは
2. AWSセキュリティの基礎
3. 最初に知っておくAWSの安全な使い方
Slide 11
Slide 11 text
11
1. AWSセキュリティとは
Slide 12
Slide 12 text
12
AWSセキュリティ
= AWS + セキュリティ
セキュリティはすべての物事に
基本的に備わっている機能
AWSはたくさんのIT技術を活用しているので
まずはIT技術の基礎を学習するところから始める
必要がある
Slide 13
Slide 13 text
13
そもそもセキュリティとは
すべての物事に基本的に備わっている機能
つまり、セキュリティが無いとそのものが破綻する
例えば、鍵のない家に住めますか?
セキュリティは必要な機能
一方で、防犯カメラは必要ですか?警備員は?
必要なレベル感はある
守るべきものによってそれは変わる
Slide 14
Slide 14 text
14
情報セキュリティの目的
ITのセキュリティは情報セキュリティという
ITの目的はビジネス
セキュリティの目的はビジネス(企業の場合)
Slide 15
Slide 15 text
15
情報セキュリティの目的
守るべきものを守り、守るべきものにあったセキ
ュリティ対策を行う
例えばビジネスの収益が少ない仕組みに高額なセ
キュリティソリューションは必要ない
Slide 16
Slide 16 text
16
なぜクラウドを使うのか
従来のオンプレミスと比較して
すぐにリソース調達できる俊敏性
使った分だけ従量課金
様々な機能を組み合わせて作れる
サイジング不要
展開・運用の自動化
など様々なメリットがある!
詳細は10の理由を参照
Slide 17
Slide 17 text
17
2. AWSセキュリティの基礎
Slide 18
Slide 18 text
18
情報セキュリティの3要素
• 機密性
• 守るべきものが第三者から見られないようにする
• パスワード設定や暗号化で情報を守る
• 完全性
• 守るべきものが破壊や改ざんされないようにする
• ウイルスや不正アクセスによる改ざんを防ぐ
• 可用性
• 守るべきものを必要なときに利用できるようにする
• システム障害により使えなくならないよう対策する
Slide 19
Slide 19 text
19
情報セキュリティの責任
情報セキュリティの責任は
すべての人
が持たなければならない
Slide 20
Slide 20 text
20
情報セキュリティの責任
具体的に考えてみる
• 情報システムを使う人の責任は?
• システムにログインするパスワードをメモした紙をうっ
かり落としたりしたらダメ
• 経営者の責任は?
• 必要なコストを掛けてセキュリティ対策を行わせる責任
を持つ
• 経営者が直接実施する必要はないが必要な時間やコスト
を当てる必要がある
• それぞれの範囲ですべての人が責任を持つ
Slide 21
Slide 21 text
21
AWSにおけるセキュリティの責任
責任共有モデルで利用者と
AWSで責任を持つ範囲を明
確化している
AWSはプラットフォームと
してのAWS自体のセキュリ
ティに責任を持つ
OS/ミドルウェア/アプリケ
ーションの設定や維持運用、
その上に保存されるデータの
セキュリティも利用者の責任
Slide 22
Slide 22 text
22
AWSでできることは広い
様々なサービスがあり何でもできる
これはメリットだが気をつけることも増える
Amazon SES
メールを送る
Amazon S3
オブジェクトを
保管する
Amazon RDS
リレーショナル
データベース
Slide 23
Slide 23 text
23
AWSの特性からくるリスク
1. インターネットを経由して利用するサービスである
ため、常に外部にさらされるリスクがある
• 設定を誤ってしまうと、AWSのアカウント自体や、
AWS上に作成したリソースに第三者が侵入できる可能
性がある
2. 従量課金であるため、際限なく金銭コストを浪費し
てしまうリスクがある
• AWS上で非常によくある事故の例としては、1つ目のリ
スクが顕在化し第三者がAWSアカウントに侵入した後、
大量のサーバーを作成されコインマイニングされる
Slide 24
Slide 24 text
24
AWSにおけるリスクの低減・防止
この2つのリスクはいずれも、セキュリティの基本であ
り原理原則の1つであるアクセス制御によってリスクを
低減し事故を防止できる
アクセス制御は当たり前に感じられるかもしれませんが
あたりまえのことを適切に実施することがセキュリティ
の基本
しかし具体的にどう実現するかは知識と経験が必要
Slide 25
Slide 25 text
25
3. 最初に知っておくAWSの安全な使い方
Slide 26
Slide 26 text
26
最初に知っておくべき3つのアクセス制御
まず初めは下記3つのアクセス制御から覚えよう
3.1. AWS環境へのIAMによるアクセス制御
3.2. S3に保存されているデータへのアクセス制御
3.3. EC2に対するネットワークのアクセス制御
Slide 27
Slide 27 text
27
3.1. AWS環境への
IAMによるアクセス制御
Slide 28
Slide 28 text
28
AWSのセキュリティは
IAMに始まり
IAMに終わる
by 臼田
Slide 29
Slide 29 text
29
AWSアカウント
• AWSアカウントはAWSアカウントID(12桁の数字)
で識別する
• AWSアカウントは論理的な境界となりアカウント間
の操作やデータの移動がデフォルトでできない
AWS Cloud AWS Cloud
S3バケット
ユーザー
デフォルトでアクセスできない
Slide 30
Slide 30 text
30
2つのユーザー
ルートユーザーに関するベストプラクティスは下記参照
AWSアカウントのルートユーザーのベストプラクティス -
AWS Identity and Access Management
Slide 31
Slide 31 text
31
IAMの4つのリソース
• IAMユーザー
• IAMグループ
• IAMポリシー
• IAMロール
ロールだけ少し
分かりづらい
Slide 32
Slide 32 text
32
IAMロールはAWSリソースが使う
IAMロールは人と同
じようにEC2インス
タンスやLambda関
数などのAWSリソー
スが使う
その人が「何をして
いいか」を設定する
のと同じように考え
て作る
※例外あり
Slide 33
Slide 33 text
33
AWSの2つの操作方法
それぞれ使うクレデ
ンシャルが違う
目的に応じて使い分
ける
Slide 34
Slide 34 text
34
IAM利用時のよくある事故
1番よくある事故:
IAMユーザーのアクセスキー
/シークレットアクセスキー
をプログラムに直接埋め込み、
そのプログラムをGitHubな
どパブリックな場所に公開し
てしまう
公開後10分で攻撃が始まった
事例があります
Slide 35
Slide 35 text
35
最初に知っておくIAMベストプラクティス
• アクセスキーをプログラムに直接埋め込んではいけない
• 認証情報をプログラムに直接埋め込んではいけない
• 最小権限の原則を意識する
• IAMユーザーには必ずMFAを設定する
• IAMユーザーは一意に払い出す
• 複数AWSアカウントで一人のIAMユーザーを複数発行しない
• IDは集約管理する
• アクセスキーは極力利用しない
その他IAMのベストプラクティスについてより詳しく知りたい方はIAM でのセキュリティのベスト
プラクティス - AWS Identity and Access Managementを参照
Slide 36
Slide 36 text
36
3.2. S3に保存されている
データへのアクセス制御
Slide 37
Slide 37 text
37
S3のよくある事故
S3バケットはデフォルトでは非公開だが公開可能
アップロードミス/設定ミスで情報漏洩するリスクあり
Webコンテンツ配信用
S3バケット
Webコンテンツ 機密情報 ユーザー
機密情報保管用
S3バケット
機密情報
ユーザー
公開されたS3バケットに誤って
機密情報をアップロードする
非公開のS3バケットを
誤って公開する
Slide 38
Slide 38 text
38
S3におけるデータのアクセス制御
S3のデータには2種類の
アクセス制御が混在する
• IAMによるアイデンテ
ィティベースアクセス
制御
• S3によるリソースベー
スアクセス制御
Slide 39
Slide 39 text
39
最初に知っておくS3ベストプラクティス
• データを分類し適切なアクセス制御を施す
• 機密情報を扱うAWSアカウントを分割する
• ブロックパブリックアクセスでS3バケットの公開を防止す
る
• バケットポリシーで最小権限を実現する
• 重要なデータはバックアップを取得する
• 機密情報など誰が閲覧・変更したかが重要なS3バケットで
はアクセスログを記録する
その他Amazon S3 のセキュリティのベストプラクティス -
Amazon Simple Storage Serviceも参照
Slide 40
Slide 40 text
40
3.3. EC2に対する
ネットワークのアクセス制御
Slide 41
Slide 41 text
41
EC2利用時のよくある事故
• EC2をパブリックなネット
ワークに配置
• ネットワークのアクセス制
御を誤る
第三者にサーバーへの侵入を
許し、マルウェアに感染させ
られたり、さらなる攻撃の踏
み台にされる場合がある
Slide 42
Slide 42 text
42
EC2におけるネットワークのアクセス制御
VPC上で
EC2など
に利用で
きるアク
セス制御
は
• SG
• NACL
Slide 43
Slide 43 text
43
最初に知っておくEC2ベストプラクティス
• SSHを0.0.0.0/0で許可しない
• 脆弱なプロトコルを利用しない
• セキュリティグループのルールにはセキュリティグ
ループIDを活用する
• システムごとVPCレベルで分割する
• 最新のパッチを適用する
その他Amazon EC2 でのインフラストラクチャセキュ
リティ /Amazon EC2 のベストプラクティス/VPC の
セキュリティのベストプラクティスも参照
Slide 44
Slide 44 text
44
まとめ
Slide 45
Slide 45 text
45
まとめ
• AWSとセキュリティの目的を理解する
• ビジネスのためにクラウドを使い、ビジネスのためにセ
キュリティ対策する(企業の場合)
• AWSとセキュリティの基礎から理解する
• 機密性・完全性・可用性を保つためすべての人が責任を
持って取り組む
• AWSのアクセス制御からセキュリティを考える
• 利用するものの原理原則を理解し適切に使う
• AWSの情報はたくさんあるので調べてから使う
Slide 46
Slide 46 text
46
おまけ
Slide 47
Slide 47 text
47
管理者編もあるよ
AWSの管理者側の方は
こちらも参照してくだ
さい
https://dev.classmethod.
jp/articles/aws-security-
guide-for-beginners-
admin/
Slide 48
Slide 48 text
48
宣伝: AWSセキュリティの初心者向け勉強会
Security-JAWSでは定常的なAWSセキュリティ
学習の場としてmini Security-JAWSを開催しています
だいたい隔週土曜日10-12時開催
https://s-jaws.connpass.com/