クラウドサービスを利用するにあたり、安心して利用できる環境にするためには監視システムの充実化が必要です。どこでもアクセスできる利便性とは裏腹に第三者の不正アクセスへの脅威を対策として施しておく必要があるためです。
awsはセキュリティ対策がしっかりとされているサービスでログイン監視機能も備わっています。awsnログイン監視はリアルタイムで監視できる特徴を持ったサービスです。
awsのログイン監視の重要性
クラウドサービスは今や企業の中核を担う存在へと成長しており、クラウドサービスを利用した社内業務の効率化や多角的な顧客戦略を展開できるようになっています。awsもクラウドサービスの一つで世界中で利用されている信頼度の高いサービスで、日本でも大企業を中心にawsを取り入れているのが現状です。
クラウドサービスの利点は、システム資産や保守体制を自社で準備する必要がないため、物理的な場所の制限を受けることがなく、サービス開始までのスピードが早い、必要な分だけ契約することによるコストの最適化などが挙げられます。
また、どこでもサービスを利用できることで社内オフィスにとどまらず、どこにいても社内と同じような仕事をすることができる業務の効率化にも効果があります。一方、セキュリティや既存システムとの連携など多くの懸念事項があるのも事実ですが、awsはセキュリティ対策を万全としていることと、APIを活用して他のシステムとの連携を容易に連動させることができる点が強みであることから、多くの企業から信頼を得ているのです。
セキュリティが脆弱であるとシステム障害につながり、エンドユーザーとのコンタクトや社内業務がすべて停止してしまう事も懸念されます。セキュリティ対策はシステム内の各方面で行う必要がありますが、クラウドサービスの入口にあたるログイン監視は最も重要なポイントで、水際で障害を防止させるために有効な手段です。
awsで可能なログイン監視
awsには、CloudTrailというログイン監視を行うオプション機能があります。不正ログインを検知してアラートを発生させ、システム管理者に異常をいち早くしらせることができます。また、アラートをトリガーとしてawsの他の監視機能と連動させることも可能で、この仕組みを構築する事で不正防止の検知を行った瞬間にサービスを物理的に停止させることもできます。
エンドユーザーを利用ユーザーとしている場合、サービスの停止は致命的な状況につながる危険性もあるため、不正アクセスのレベルの設定には最大限の注意をする必要があります。
CloudTrailを使ったリアルタイムログイン監視
CloudTrailを利用したawsのログイン監視の特徴は、ログインされたリアルタイムの時間で監視する事ができる点です。一般的なログイン監視は、ログイン情報の確認を一日一回や、数時間に一回などのバッチ処理で動かし、不正アクセスが発生していないかを確認する方法です。
システムへの負荷を考慮するとバッチ処理が最も効率的ですが、セキュリティ対策としては脆弱です。awsのCloudTrailはリアルタイムログイン監視を基本としており、不正アクセスがあったその時点でシステム管理者にアラートを発し、時間的局面からリスク防止を図っています。
具体的な監視の流れは、CloudTrailでログイン検知した情報からlog groupを作成し、CloudWatchにログ情報を書き出します。CloudWatchでは事前に設定したAWS管理コンソールログインで特定のIP以外からログインがあった場合にアラームを発動する動きです。
この動作をログインがなされる度に繰り返される仕様です。あくまでも検知にとどまるため、システム的な制御は基本的にかかっていません。しかしこのアラートメールを発動することをトリガーとして設定することも可能であるため、他のシステムの制御を自動で開始する仕組みも構築可能です。
IP制限を用いてログイン制限をかける
クラウドサービスは、インターネット環境があればどこでも接続できるのが利点の一つです。
そのため、関係者以外の第三者も簡単にアクセスすることが可能です。第三者を排除する最も簡単ログイン制限方法がIP制限です。設定したIPアドレス以外からのアクセスを一切受け付けなくしてしまうことが物理的に効果的です。
しかし、IP制限をかけることで関係者にも支障が出る可能性もあります。awsはエンドユーザーや社外での業務をベースに構築されたクラウドサービスであるため、IP制限をかける想定をしておらず、IP制限で制御する機能自体存在していません。
しかし日本の企業からは、社内だけの限られた場所で利用するユースケースも少なくなく、IP制限を利用したいという声が多数上がっているのが現状です。awsでIP制限をすることはできませんが擬似的な制限をかけることは可能です。
IAMポリシーを工夫することにより、管理コンソールへログインできたとしても、情報の閲覧や各種操作が一切できない状況を作り出す事が可能です。ログインしてアクセスは可能であるため、完全な形での制限とはいえませんが、操作を排除することで第三者の脅威から守ることはできます。
ログイン監視は見守ることがメインですが、制限を加えることでより強固なセキュリティを構築することができます。
awsの他の監視機能を併用してセキュリティ効果を図る
awsはセキュリティ対策が万全なクラウドサービスです。システムの監視はログイン時の不正アクセスを検知するだけでなく、システムに負荷をかけるような動きやダウンロードの異常の検知など様々な観点からセキュリティ監視を施すことができます。
システムのセキュリティは穴がないように全体に張り巡らせるように設定しておくことが最も大事なポイントです。また、セキュリティ同士のネットワークはよりセキュリティを高めます。一方の監視システムで検知した情報をトリガーにして他の監視システムの挙動を変更させるなどすることで、システム障害に陥るようなリスクを軽減させることができます。
ログイン監視機能は入口の対策として活用し、他の監視機能を上手に併用させることがクラウドを安心して利用できる環境へと導いてくれます。
ログイン監視は入口の不正を防止する
awsのようなクラウドサービスはどこでも利用できるのがメリットですが、セキュリティ面の不安がつきまとうサービスです。ログイン監視はシステムへの不正アクセスを検知するために有効です。awsのログイン監視システムは、ユーザーがログインしたリアルタイムの監視が可能であるため、不正アクセスの時間的なリスクを軽減させることができます。