このページの本文へ

クラウド環境を守る!
「AWSセキュア設計ガイド」の整備に向けた取り組みテクニカルレポート

公開日:2025年11月4日

R&D本部DI部 シニアITアーキテクトの熊です。
パブリッククラウド(以下、クラウド)の活用が企業の競争力を左右する中、セキュリティ対策の重要性が一層増しています。クラウドセキュリティインシデントの多くはクラウド利用者の設定ミスや設計不備に起因しており、クラウドにおける安全なシステムの構築方法が重要な課題となります。
本コラムでは、キヤノンITソリューションズ(以下、キヤノンITS)が取り組む「AWSセキュア設計ガイド」の整備を通じて、実践的かつ再現性のあるクラウドセキュリティ対策のあり方を紹介します。クラウド活用における不安を少しでも軽減し、より安心して導入/運用いただくためのヒントとなれば幸いです。

クラウド活用の拡大がもたらす影、クラウドセキュリティインシデントの増加

近年、企業のデジタル化が加速する中、クラウドの利用が拡大しています。クラウドはシステム構築/運用の柔軟性やコスト/時間面の効率性を高める一方で、新たなセキュリティリスクをもたらしています。

クラウドにおける重大なセキュリティ脅威

Cloud Security Alliance(CSA)※1により2024年公開されている「Top Threats to Cloud Computing 2024」によると、クラウド事業者起因の脅威ランキングは下がり続け、クラウド利用者起因のものが増えてきているとされます。列挙されている11の脅威のうち、「設定ミスと不適切な変更管理」、「アイデンティティとアクセス管理」、「セキュアでないインターフェースAPI」と「クラウドセキュリティアーキテクチャと戦略の欠如」が重要なセキュリティ課題と認識されています。

表1:クラウドコンピューティングに対する重大な脅威2024
(出典:CSA、Top Threats to Cloud Computing 2024(訳:CSA ジャパン、クラウドコンピューティングに対する重大な脅威2024))

クラウド利用者に起因するクラウドセキュリティインシデントの事例

国内外/業界を問わず、クラウド利用者に起因するインシデントの事例が報告されていますが、この中で特に注目すべきものを紹介します。

報告年月 概要
2024年2月 過去に終了プロジェクトで使用された認証情報が不適切に管理されており、それを用いてAmazon S3に不正アクセスが確認されました。
2023年5月 利用しているクラウドの設定ミスにより、個人情報を含む顧客データが長年にわたってインターネット上で閲覧可能な状態になっていました。
2022年10月 クラウドへのアクセス権限を誤設定したことにより、個人情報を含む顧客データが漏洩しました。
2019年7月 Amazon EC2のメタデータを取得する公開APIが悪用され、AWSの認証情報が不正取得された結果、大量の個人情報が流出しました。

表2:クラウド利用者に起因するクラウドセキュリティインシデントの事例

クラウドセキュリティインシデントの増加により、従来のセキュリティ対策では十分に対応できない現実が浮き彫りとなり、今や組織にとってクラウドに特化したセキュリティ対策の強化は喫緊の課題となります。

オンプレミスからクラウドへ、変わるセキュリティの考え方

クラウドは、従来のオンプレミスと異なるため、それに対応した新たなセキュリティ対策の考え方が求められています。ここでは、オンプレミスとクラウドの違いに注目して、クラウドセキュリティ対策の考え方を解説します。

責任共有モデルの理解が不可欠

クラウドの活用にあたっては「責任共有モデル」について理解しておく必要があります。
責任共有モデルとは、クラウドサービス(例えば、EC2、RDS、S3など)におけるセキュリティと運用において、クラウド事業者とクラウド利用者がそれぞれの責任範囲を定めるものです。
責任共有モデルの基本的な考え方の例を図1に示します。クラウドサービスの種類(IaaS※2、PaaS※3、SaaS※4)によって責任範囲が異なり、昨今では、CaaS※5、FaaS※6などの新たな形態が登場しています。これらの多様なクラウドサービスを組み合わせてシステムを構築することが一般的になり、責任分担の構造がより複雑化しています。

図1:クラウドサービスの責任共有モデル

クラウドの特長に応じたセキュリティ配慮

クラウドの主な特長である、インターネット経由でのアクセス、共有環境、API操作について、これらがセキュリティ面に与える影響を解説します。

インターネット経由のアクセス
クラウドはインターネット経由でアクセスするため、攻撃者からの標的になりやすく、強力な認証/認可メカニズムや通信の暗号化が不可欠となります。
共有環境
複数のクラウド利用者が共同で環境を利用するため、データ流出、リソース競合、攻撃の連鎖などのリスクを考慮する必要があります。
API操作
クラウドサービスはAPIを介して管理されるため、APIセキュリティの強化が不可欠です。具体的には、過剰アクセスの防止、不正アクセスの検知、そして不要なAPIエンドポイントの無効化などが必要となります。

継続的なセキュリティ管理が重要

従来のオンプレミスと異なり、クラウドには、以下の特長があります。

  • リソースの柔軟な追加/削除が可能
  • リソースの設定も簡単に変更が可能
  • クラウドサービスが頻繫にアップデートされる

クラウドの「動的な性質」に合わせて、継続的なモニタリングとアセスメントが重要です。環境の変化を常に把握し、新たなリスクを迅速に特定する必要があります。自動化されたセキュリティスキャンやリアルタイムの脅威検知の導入が有効です。

クラウドセキュリティは従来のアプローチを見直し、新たな技術や考え方を積極的に取り入れることが成功の鍵となります。常に変化する脅威に対応するため、継続的な学習と適応が求められるのです。

クラウドセキュリティ向上の取り組み「AWSセキュア設計ガイド」の策定

クラウドセキュリティ対策を行う際は、利用するクラウドサービスごとにベストプラクティスを参考にしながら、最適なセキュリティ対策を実施することが一般的です。しかし、世の中の多くのガイドラインは、利用者がクラウドサービスの仕様や設定項目を十分に理解していることを前提としています。また、これらのガイドラインは主に設計原則の提示に重点を置いており、具体的な実装方法まで踏み込んでいないことが特長です。
そこでキヤノンITSでは、技術力の向上と提供するシステムやサービスの品質確保を目指し、キヤノンITSのAWS案件を担当する社員をサポートする「AWSセキュア設計ガイド」の整備に取り組んでいます。その特長は、次の通りです。

図2:「AWSセキュア設計ガイド」の特長
業界ガイドと開発現場のノウハウを融合
本ガイドは、主に「AWS Well-Architected Framework※7」と「NIST SP800-190(Application Container Security Guide)※8」の包括的な視点をベースに、現場で即座に活用できる対策をチェックリスト形式でリストアップしています。キヤノンITSのAWS認定エキスパートの知見と実プロジェクトで培った豊富な経験を取り入れているため、より強固で実践的なものとなります。
継続的な改善サイクルを実施
クラウドセキュリティの世界は日々進化しています。この変化に対応するため、キヤノンITSはクラウドセキュリティの最新動向を常に注視し、AWSのアップデート・ベストプラクティス、さらに社内での利用実績などを定期的に収集しています。これらの情報から得られた新たな気づきや改善点を分析し、ガイドに反映しています。

このガイドを活用することで、キヤノンITSは、クラウドセキュリティに対する当事者意識が高まり、開発者間の知識共有が促進されます。その結果、一貫性のある高品質なシステム開発が可能となり、さらにお客さまでは、クラウドを利用する際の不安が軽減されます。

まとめ

クラウドの利用は日々拡大している一方で、さまざまなセキュリティリスクが存在します。
本コラムでは、クラウドセキュリティの現状とオンプレミスからの変化について触れました。クラウドセキュリティ向上に向けて、キヤノンITSは「AWSセキュア設計ガイド」の整備に引き続き取り組みます。次回は、「AWSセキュア設計ガイド」のコンセプトについて、さらに詳しくご紹介します。

  • ※1
    Cloud Security Alliance:クラウドコンピューティングのセキュリティに関するグローバルな非営利団体です。クラウドセキュリティのベストプラクティスの策定・提供・利活用を目指します。
  • ※2
    IaaS:Infrastructure as a Service、イアース。インフラ(ハードウェアや仮想化ソフトウェアなど)をクラウドで提供するサービスを指します。
  • ※3
    PaaS:Platform as a Service、パース。アプリ実行環境(OSやミドルウェアまで)をクラウドで提供するサービスを指します。
  • ※4
    SaaS:Software as a Service、サース。アプリケーション全体をサービスとして提供するサービスを指します。
  • ※5
    CaaS:Container as a Service、カース。コンテナをクラウド上で提供するサービスを指します。
  • ※6
    FaaS:Function as a Service、ファース。関数をクラウド上で提供するサーバーレスなサービスを指します。
  • ※7
    AWS Well-Architected Framework:AWSのクラウドアーキテクチャの考え方とベストプラクティス集です。AWSを使用する多くの企業にとって重要な指針となっており、多くのAWSユーザに参照されています。
  • ※8
    NIST SP800-190(Application Container Security Guide):アメリカ国立標準技術研究所(NIST)が発行したガイドであり、コンテナ環境上にシステムを構築する際に考慮すべきセキュリティリスクが定義されています。

    NIST Special Publication 800-190(日本語翻訳) (-)

    NIST Special Publication 800-190(原本) (-)

筆者紹介

R&D本部 熊イニ

熊 イニ

R&D本部 DI部所属。シニアITアーキテクト。パブリッククラウド(AWS・Azure・OCI)を活用したシステム設計手法の研究開発に従事し、最適なクラウド活用を推進。

テクニカルレポート一覧へ