社内システムの AWS 移行時における

セキュリティ検討ガイド

提供：

トレンドマイクロ株式会社

Version 1.0

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 2

目次

1 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 AWS 上のサーバ保護は、責任共有モデルを理解した上で . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3 ファイアウォールやウイルス対策だけでは防げない、近年の巧妙な攻撃 . . . . . . . . . . . . . . . . . . . . . . . . . 6

4 Trend Micro Deep Security TM という選択肢が AWS に適した 3 つのポイント . . . . . . 8

5 まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 3

1 はじめに

「クラウドファースト」という言葉が使われるようになって、ずいぶん経ちました。今では、Web サー

バをはじめ社外に公開するシステムを構築する際、コストパフォーマンスに優れ、伸縮自由なクラウ

ド基盤を最初の選択肢として考える企業が増えています。

その波は、今までオンプレミスに構築されることの多かった「社内システム」――例えば人事総務シ

ステムや会計システム、ファイルサーバをはじめとする各種ストレージなど――にも及び始めました。

トレンドマイクロが 2016 年 3 月に行った調査によると、代表的なクラウドサービス「アマゾン ウェ

ブ サービス（以下 AWS）」を Web サイト（コーポレートサイト）の運用に利用している企業は

27.1％に上ります。同時に、人事・総務系システム（25.7％）やファイルサーバ（24.7％）、

会計系システム（24.2％）といった具合に、社内システムの基盤として AWS を利用している企

業の割合もほぼ同率となっています。さらに、「今後 AWS に移行予定のシステム」として、メールや

グループウェアといったビジネスアプリケーションや会計系システムを挙げる企業が 68％に達するな

ど、社内システムのクラウド移行の意欲が高まっていることが分かります。

表 1：企業におけるクラウド利用実態調査 201 6 年トレンドマイクロ株式会社

n=

会

計

系

シ

ス

テ

ム

人

事

・

総

務

系

シ

ス

テ

ム

C

R

M

・

顧

客

管

理

シ

ス

テ

ム

E

コ

マー

ス

サ

イ

ト

W

e

b

サ

イ

ト

（コー

ポ

レー

ト

）

キ

ャン

ペー

ン

ウ

ェブ

サ

イ

ト

（期

間

限

定

）

オ

ン

ラ

イ

ン

（モ

バ

イ

ル

）ゲー

ム

基

板

金

融

サー

ビ

ス

決

済

シ

ス

テ

ム

研

究

開

発

シ

ス

テ

ム

テ

ス

ト

・

デ

モ

環

境

ビ

ッグ

デー

タ

分

析

モ

バ

イ

ル

ア

プ

リ

ケー

シ

ョン

用

シ

ス

テ

ム

フ

ァイ

ル

サー

バ

/

ス

ト

レー

ジ

用

シ

ス

テ

ム

災

害

対

策

・

リ

ス

ト

ア

デ

ジ

タ

ル

マー

ケ

テ

ィン

グ

ビ

ジ

ネ

ス

ア

プ

リ

ケー

シ

ョン

（メー

ル

、グ

ルー

プ

ウ

ェア

等

）

コ

ン

テ

ン

ツ

配

信

(

C

D

N

)

そ

の

他

(1,030) 68.3 66.7 66.2 61.8 68.8 60.8 54.9 59.2 65.9 63.6 66.7 67.3 64.4 67.7 64.7 64.1 68.4 61.3 15.8

100人未満 (340) 65.3 61.8 61.2 57.6 64.7 57.1 53.2 57.4 61.2 58.5 60.0 60.9 59.4 63.2 59.7 59.4 64.4 59.7 15.6

100-299人 (162) 67.9 69.8 66.0 62.3 71.0 61.1 55.6 57.4 65.4 63.6 68.5 64.8 64.2 66.0 65.4 61.7 69.1 59.9 12.3

300-999人 (163) 69.9 67.5 68.1 63.8 69.3 59.5 52.1 60.1 69.9 63.2 68.7 70.6 65.6 66.3 63.8 62.6 66.9 58.9 11.7

1000-4999人 (184) 70.7 70.7 67.9 62.5 67.4 61.4 56.5 58.2 65.8 66.3 69.6 67.4 63.6 68.5 66.3 66.8 70.7 62.0 15.8

5000人以上 (181) 70.7 68.5 72.4 66.9 75.7 68.0 58.0 64.6 71.8 70.7 72.9 78.5 73.5 77.9 72.4 73.5 74.6 66.9 23.2

※スコアはTOP2（「今後移行予定/今後も継続利用・拡大利用予定」+「移行を検討中」）

全体

従業員数

68.3 66.7 66.2 61.8 68.8

60.8 54.9 59.2

65.9 63.6 66.7 67.3 64.4 67.7 64.7 64.1 68.4 61.3

15.8

0%

20%

40%

60%

80%

100%

[比率の差]

全体+10ﾎﾟｲﾝﾄ

全体 +5ﾎﾟｲﾝﾄ全体 -5ﾎﾟｲﾝﾄ

全体-10ﾎﾟｲﾝﾄ

n=30以上の場合

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 4

背景には、コストパフォーマンスや調達の迅速さ、増減や構成の柔軟性といったクラウドのメリット

が広く理解されてきた事実があるでしょう。加えて、クラウドに対する漠然とした不安、特にセキュリテ

ィ面での不安が、事業者の取り組みや実績の面で解消されつつあることも、大きな要因と言えそう

です。

数年前まで、クラウドサービスの利用を検討する際に必ず出てきた声が「クラウドにデータを置い

て、セキュリティは大丈夫？」というものでした。これに対し AWS をはじめとするクラウド事業者は、

ISO 27001 や PCI DSS をはじめとする国際的なセキュリティ標準や各国の法規制に準拠した

安全対策を、物理的なインフラや人的・管理体制の面で講じてきました。また、日本の企業が最も

気にする「自社のデータが海外に保存されてしまうのではないか」という懸念に対しても、いくつかの

事業者は国内にデータセンター（リージョン）を設置することで払拭しています。

こうした取り組みを通じて、むしろ今では「クラウドに預ければ、自社で対策を講じるよりも安心だ」

と考える企業も増えてきました。中には、「クラウド事業者が提供するセキュリティ機能だけで大丈

夫」と、すべてお任せできるかのような印象を持つケースもあるようです。しかし、そこには大きな落と

し穴があります。クラウド事業者の取り組みだけでなく、ユーザ企業自身の対策が加わってはじめ

て、クラウド上のシステムの安全性を確保できるのです。

このホワイトペーパーでは、その理由と、社内システムを AWS 上で運用する際の留意点を紹介

していきたいと思います。

2 AWS 上のサーバ保護は、責任共有モデルを理解した上で

クラウド事業者にセキュリティを丸投げできない理由の一つは、内的要因、つまりクラウドのセキュリ

ティモデルにあります。

前述の通り、AWS をはじめとするクラウド事業者はさまざまなセキュリティ対策を講じてきました。

データセンターの電源や対外接続の冗長化にはじまり、地震や水害に備えた堅牢な施設を構築

し、入退室管理にも気を配るなど、インフラや人的管理の面で、ユーザ企業単体では困難な高い

レベルの安全対策を実現しています。

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 5

しかし、それだけではカバーできない部分が残っています。それは、OS よりの上のレイヤです。先に

説明した AWS のセキュリティ対策は、物理的なインフラやネットワークと OS、それにハイパーバイ

ザーといった領域のセキュリティを担保するものです。しかし、その上で動作する仮想 OS（ゲスト

OS）やミドルウェア、Web アプリケーションのセキュリティについては、顧客自身が担わなければなり

ません。

AWS ではこれを「責任共有モデル」と呼んでいます。

（https://aws.amazon.com/jp/compliance/shared -responsibi l ity-

model/）

グローバルなインフラやネットワーク、ストレージ、そしてコンピュートリソースといった、クラウド構成基

盤のセキュリティについては AWS が責任を持つ一方で、それを利用して運用されるゲスト OS やミ

ドルウェア、アプリケーション、それらが扱うコンテンツやデータの保護は、ユーザ企業自身の責任で

す。

図１：AWS の責任共有モデル

もちろん AWS では、ID/アクセス制御や認証、ログ管理・監査、侵入テストによる脆弱性チェッ

ク、Web アプリケーションファイアウォールやデータの暗号化、DDoS 対策など、ハイバーバイザーよ

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 6

りも上位のレイヤを対象としたものも含め、多数のセキュリティ機能を提供しています。また

「Amazon VPC」では、AWS 上に仮想ネットワークを構築し、ネットワークファイアウォールを活用

してアクセス制御が可能です。

しかし、これらはあくまで「ツール」であり、適切に設定し、運用するのはユーザの責任です。AWS

は、責任共有モデルに関する Web ページの中で「セキュリティ実装に関する管理権限を有するの

は顧客の責任であり、それはオンサイトのデータセンター（オンプレミス）の場合と何ら変わることは

ない」旨を説明しています。

加えて、脆弱性管理やホストベースのファイアウォール、 IPS/IDS のように、AWS が提供するツ

ールだけではカバーできない領域も残されています。この部分の保護もまた、顧客の責任となりま

す。

このように責任共有モデルを踏まえた上で、自社が守るべきものを明確にし、ビジネスモデルや企

業文化に合ったセキュリティを考える――これは今回取り上げた社内システムを AWS に移行する

際だけなく、Web サーバをはじめとする公開サーバをクラウド上で展開する上でも欠かせないポイン

トになります。詳しくは、別のホワイトペーパー「AWS 環境の公開サーバに対するセキュリティ検討

ガイド」をぜひ参照してください。

( https://resources.trendmicro.com/jp -docdownload-294-aws.html )

3 ファイアウォールやウイルス対策だけでは防げない、近年の巧妙な攻撃

では、責任共有モデルに基づいて、オンプレミスと同等の、社内システムに求められるセキュリティについ

て考えてみましょう。

実はここにも落とし穴が潜んでいます。「社内システム」というと、ファイアウォールによって外部から隔て

られた安全な領域にあるもの、というイメージを持つ方が多いようです。従って、「ファイアウォールがある

から、あとはウイルス対策程度で大丈夫」と考えるケースが少なくありません。しかし、近年の巧妙化した

攻撃から自社の重要なデータを守るには、それだけでは不十分と言わざるを得ないのです。

一例として標的型攻撃を例に挙げ、攻撃者がどのような手口で内部に侵入を試みるかをおさらいして

みましょう。標的型攻撃では、狙いとなる組織のユーザに、巧妙に装ったメールを送りつけ、添付ファイル

を開かせたり、不正な Web サイトに誘導してそのユーザの端末をまずはマルウェアに感染させます。そし

て、最初の被害者の端末を足がかりにして、横へ横へと侵入範囲を広げていくのです。システム管理者

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 7

のアカウントやファイルサーバの情報、リモートアクセス用の情報などを盗み取っては次の端末やサーバへ

と侵入を繰り返し、最終的には個人情報や機密情報など、攻撃者にとって価値のある情報を盗み出

し、外部に送信するのです。

図２：標的型攻撃の代表的なプロセス

このとき攻撃者にとって、ターゲットのシステムがオンプレミスにあるのか、それともクラウド上にあるのか

は関係ありません。場合によっては、最初に感染した端末から VPN 経由でクラウド上の社内システムに

不正アクセスを試み、情報を盗み取るといったパターンも考えられます。最近では、Active

Directory などの認証システムもクラウド上に構築するケースがありますが、クラウド事業者側が用意し

た対策だけで安心していると、こうした情報が盗み取られ、悪用される恐れがあるのです。

こうした巧妙な手法を考えると、インターネットとの境界部分だけで攻撃を防ぎきろうとするのはナンセ

ンスと言っていいでしょう。もちろん、ゲートウェイでできる限り脅威を排除することは大切ですが、同時に

エンドポイントやサーバといった要所要所で、セキュリティパッチを適用して脆弱性を防いだり、ホストに対

する攻撃を検知するといった多層的な防御が欠かせません。また、万一悪意あるソフトウェアに感染し、

侵入されてしまった場合に備えて、ログを確認できるようにし、必要に応じて不正なサイトとのアクセスを

遮断して被害拡大を防ぐ仕組みも求められます。

これらの対策の中には、AWS のセキュリティ機能として提供されているものもあれば、そうでないものも

あります。クラウドセキュリティの責任境界点から上のレイヤを保護するには、適切にサードパーティが提

供するセキュリティ製品を組み合わせることが不可欠です。

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 8

4 Trend Micro Deep SecurityTM という選択肢が AWS に適した 3 つのポイント

では、「責任共有モデル」「多層防御」といったここまでの話を踏まえ、AWS のメリットを生かしな

がら安全を確保するセキュリティソリューションに求められる要素を、さらに深く考えてみましょう。ポイ

ントは 3 つ挙げられます。

1 つは、標的型攻撃をはじめとする高度な攻撃、APT にどのように対処できるかという防御力の

観点です。繰り返しになりますが、高度な脅威は既存の対策を理解し、さまざまな手を使って防御

の網をすり抜け、侵入を試みます。そのため、どれか一つの防壁が突破されたとしても別の仕組みで

防いだり、早期に侵入を検知して被害拡大を防ぐといった機能が重要になります。

2 つめは、AWS での導入形態です。現在の市場を見ると、仮想マシンごとにインストールする「ホ

スト型」と、複数のインスタンスの前に仮想アプライアンスとして設置し、そこでまとめてセキュリティ処

理を行う「ゲートウェイ型」の 2 タイプが用意されています。しかし後者は、トラフィックが増えたときな

どにボトルネックになる恐れがあるほか、そこが単一障害点となってしまう可能性もあります。それを

防ごうとすると今度は構成が複雑化し、せっかくのクラウドならではのメリットを生かしきれない恐れが

あることに注意が必要でしょう。

3 つめは、クラウドの伸縮性、アジャイル性といった特徴をどれだけ生かせるか、クラウドのスケール

に追随して柔軟に拡張できるかどうかです。せっかく AWS を活用するのに、インストールや運用管

理作業が煩雑で、そのスケールメリットを享受できなければ意味がありません。AWS と連携して、

動的に（さらには自動的に）セキュリティを適用できるような製品を選ぶことが大切です。

クラウド上に社内システムを移行する際のセキュリティ対策には、こうした要素が求められます。

トレンドマイクロではこうしたニーズに合致する製品として、「Trend Micro Deep Security TM」（以下 Deep Security）を提供しています。Deep Security は、不正プログラム対策、

IPS/IDS（侵入防御）、Web レピュテーション、ファイアウォール、ファイルやレジストリの変更監

視、セキュリティログ監視といった 6 つの機能を搭載した総合サーバセキュリティ対策製品で、AWS

の責任共有モデルでいう、OS よりも上のレイヤーを保護する機能を提供します。必要に応じて機

能をオン／オフできるため、AWS が提供する機能、あるいは導入済みの他のセキュリティソリューシ

ョンと組み合わせての利用も可能です。

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 9

図 3 :Deep Security が提供する 6 つのセキュリティ機能

Deep Security は仮想マシン単位で導入するホスト型を採用しているため、Amazon EC2

インスタンスが増えれば、それに応じてセキュリティ機能を追加でき、ボトルネックが生じることはありま

せん。また、API を介して AWS Management Console と連携でき、Auto Scaling にも

対応できるため、インスタンスの増減に応じて、自動的に必要なセキュリティを実装できる仕組みと

なっています。

残念ながら今後もサイバー攻撃の手法は進化することでしょう。それを考えると、オンプレミス同

様、クラウドに移行したシステムについても、常に新たなアプローチを取れるよう準備を整えておくこと

が重要です。

お客様・利用者の

責任範囲

ＡＷＳの責任範囲

4：AWS の責任範囲と Deep Security のカバー範囲

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 10

5 まとめ

繰り返しになりますが、AWS をはじめとするクラウドサービスがもたらすメリットは非常に大きいもの

です。それを生かし、自社の競争力を伸ばすためにも、何を守りたいのかを明確にし、それに必要な

事柄全てをクラウド事業者任せにするのではなく、自社の責任で実施すべきセキュリティ対策を整

理し、実行していくことが必要です。

こうした取り組みは、システム運用プロセスを標準化・最適化させ、コンプライアンスに寄与するも

のとなるでしょう。何かあったときの説明責任を果たす上でも大切です。オンプレミスとクラウド、双方

の環境のセキュリティレベルを高い水準で統一することが、クラウド移行後も、企業のガバナンスを確

保する上で欠かせない作業になります。そのためにぜひ、AWS が提供するセキュリティ機能と

Trend Micro Deep SecurityT M のようなサードパーティが提供するセキュリティ機能をうまく組

み合わせ、活用することをお勧めします。

社内システムの AWS 移行時におけるセキュリティ検討ガイド ページ 11

TREND MICRO™

本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。

トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず

本書またはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払

っていますが、本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わ

ないものとします。本書およびその記述内容は予告なしに変更される場合があります。

TRENDMICRO、TREND MICRO、Trend Micro Deep Security は、トレンドマイクロ

株式会社の登録商標です。

アマゾン ウェブ サービス、 AWS、 Amazon EC2、および Amazon VPC は、

Amazon.com, Inc.またはその関連会社の商標です。

〒151-0053

東京都渋谷区代々木 2-1-1 新宿マインズタワー

大代表 TEL：03-5334-3600 FAX：03-5334-4008

http://www.trendmicro.co.jp

©2016 Trend Micro Incorporated. A l l R ights Reserved.