AWSのセキュリティ入門|IAM・セキュリティグループ・WAFの設定実践を現役講師が解説
Skills Boost Infra Academy
AWSのセキュリティ入門|IAM・セキュリティグループ・WAFの設定実践を現役講師が解説
AWS責任共有モデルからGuardDuty・Shield・WAFまで現場で使うセキュリティ設計を体系化
AWSを安全に使うためのセキュリティ設計は複数のサービスを組み合わせる必要があります。IAMから始まりWAF・GuardDutyまでの基本を現役IT講師が解説します。
吉田たかし|元NWエンジニア・現役IT講師
CCNA/CCNP/LPIC-1/AZ-900取得。14年のインフラエンジニア経験を持つ現役IT講師。AWS研修・セキュリティ支援の経験から、インフラエンジニアが押さえるべきAWSセキュリティの基本を解説します。
📌 この記事のポイント
✅ AWSは「責任共有モデル」——クラウドのセキュリティはAWS、クラウド上のセキュリティはユーザーの責任
✅ セキュリティの第一線はIAM(権限管理)とセキュリティグループ(ネットワーク制御)
✅ GuardDutyで脅威検知・AWS Configでコンプライアンス監視・CloudTrailで操作ログを記録する
1. AWSセキュリティの責任共有モデル
| 責任範囲 | AWS側 | ユーザー側 |
|---|---|---|
| 物理インフラ | データセンター・サーバー・ネットワーク機器 | なし |
| 仮想化基盤 | ハイパーバイザー | なし |
| OS・ミドルウェア | RDS等のマネージドサービスのみ | EC2のOS・ミドルウェアは自社管理 |
| アプリケーション | なし | 全て自社責任 |
| データ | なし | 暗号化・アクセス制御は自社責任 |
| アクセス管理 | IAMサービスの提供 | IAMポリシー設計は自社責任 |
2. セキュリティグループの設計原則
インバウンドは最小限に
0.0.0.0/0(全IPからのアクセス)を避ける。特定のIPまたはセキュリティグループIDに限定する
SSHは踏み台経由に
EC2へのSSH(22番)は直接許可せずBastionホスト→内部SGの構成にする
セキュリティグループの積み重ね
Webサーバー・APサーバー・DBサーバー用に別々のSGを作成し最小権限を実現
NACLで追加のサブネット保護
セキュリティグループ(ステートフル)の前段にNACL(ステートレス)を置いてDeny可能にする
3. セキュリティサービスの使い分け
| サービス | 役割 | 設定の優先度 |
|---|---|---|
| IAM | ユーザー・ロール・ポリシーの管理 | ★★★必須 |
| Security Group | EC2・RDSのインバウンド/アウトバウンド制御 | ★★★必須 |
| CloudTrail | 全APIコールの記録(監査ログ) | ★★★必須 |
| GuardDuty | 機械学習を使った脅威検知 | ★★☆推奨 |
| AWS Config | リソース設定の変更追跡・コンプライアンス | ★★☆推奨 |
| WAF(Web Application Firewall) | L7レベルのSQLインジェクション・XSS防御 | ★★☆ALB・CloudFront前段に推奨 |
| Shield Standard | DDoS攻撃の基本的な防御(無料) | ★☆☆自動適用 |
※ AWSセキュリティサービスの仕様・料金は変更される場合があります。AWS公式の「Security Pillar – AWS Well-Architected Framework」も合わせてご確認ください。
