セキュリティとコンプライアンス
このドメインで学ぶこと
このドメインでは、AWS と利用者の責任範囲を定める「責任共有モデル」、ID とアクセス管理 (IAM) の基本、そして AWS が提供する主要なセキュリティサービス (GuardDuty、WAF、Shield、KMS など) を学びます。CLF-C02 で出題比率 30% を占める最重要ドメインの 1 つです。
重要ポイント
- AWS 責任共有モデル - AWS は「クラウドのセキュリティ」(物理・ハイパーバイザ・ネットワーク基盤)、利用者は「クラウド内のセキュリティ」(OS、アプリ、データ、IAM 設定) に責任を持つ
- IAM ユーザー、グループ、ロール、ポリシーの違いを理解する
- ルートユーザーは作成直後の万能アカウント。日常使用は避け、MFA を必須化する
- 最小権限の原則 - ユーザーや役割に必要最低限の権限のみを与える
- KMS (キー管理) によるデータ暗号化と、保存時 / 通信時の暗号化の使い分け
- GuardDuty (脅威検知)、Shield (DDoS 対策)、WAF (Web 攻撃対策)、Inspector (脆弱性診断) の役割を区別できる
- AWS Artifact から SOC、PCI DSS、ISO などのコンプライアンスレポートを取得できる
用語と概念
責任共有モデル (Shared Responsibility Model)
AWS と利用者の間でセキュリティ責任を分担するモデルです。AWS は物理施設、ホストハードウェア、仮想化基盤を守り、利用者は OS、アプリケーション、データ、IAM 設定を守ります。EC2 と S3 では責任範囲が異なる点に注意が必要です。
IAM (Identity and Access Management)
AWS リソースへのアクセスを誰に / どのリソースに / どんな操作を許可するかを制御するサービスです。ユーザー (人間)、グループ (ユーザーの集合)、ロール (一時的に引き受ける権限の塊)、ポリシー (JSON で書かれた許可ルール) で構成されます。
ルートユーザーと多要素認証 (MFA)
ルートユーザーは AWS アカウント作成時に作られる最強の権限を持つアカウントです。請求情報の変更などごく一部の操作を除き、日常業務では IAM ユーザーを使い、ルートユーザーには必ず MFA を設定して安全に保管します。
KMS (Key Management Service)
暗号鍵を安全に管理するためのサービスです。S3、EBS、RDS など多くのサービスと統合され、保存時のデータを暗号化できます。封筒暗号化 (envelope encryption) という方式で、データキーを暗号化する鍵 (CMK) を KMS が管理します。
GuardDuty / WAF / Shield / Inspector の使い分け
GuardDuty は AWS アカウント内の不審な挙動を検知、WAF は Web アプリへの攻撃 (SQL インジェクション等) を防御、Shield は DDoS 攻撃を防御、Inspector は EC2 やコンテナの脆弱性を診断します。守る対象が異なります。
理解度チェック
学んだ内容を 5 問で確認しましょう