AWS のセキュリティ、コンプライアンス、暗号化、シークレット(CloudOps 向け)
Tony Duong
3月 29, 2026 · 6 分
#aws#waf#shield#firewall-manager#kms#acm#tls#secrets-manager#security-hub#guardduty#inspector#macie#cloudops#certification#compliance#encryption
SysOps / CloudOps 認定向けにまとめた セキュリティとコンプライアンス:境界 コントロール(WAF、Shield、Firewall Manager)、脆弱性 と データプライバシー サービス、一元化 されたセキュリティ姿勢(Security Hub、GuardDuty、Trusted Advisor、Audit Manager)、ログ → S3 → Athena のパターン、暗号化基盤(KMS、ACM)と Secrets Manager 対 Systems Manager Parameter Store。
災害復旧 のデータ移動とバックアップは AWS DataSync and AWS Backup: Disaster Recovery Notes を参照。
AWS WAF(Web Application Firewall)
- レイヤー 7(HTTP/HTTPS) の保護 — レイヤー 4(TCP/UDP) の NLB とは対比;試験では WAF は NLB にアタッチしない。
- アタッチ先: Application Load Balancer、API Gateway、CloudFront、AppSync GraphQL API、Cognito ユーザープール。
- Web ACL に ルール;ルールグループで再利用可能なルールを束ねる。IP セットはセットあたり最大 10,000 アドレス(複数ルール/セットで拡張)。
- コースで触れるルール種別:IP の許可/拒否、HTTP ヘッダー と ボディ、URI 文字列(例:SQL インジェクション、XSS パターン)、サイズ制約、geo match(国の許可/ブロック)、レートベース ルール(例:DDoS 的乱用のため IP あたりのリクエスト上限)。
- リージョンリソース向けは リージョン Web ACL;CloudFront は us-east-1(バージニア北部)で作成する グローバル Web ACL。
- 試験のアーキテクチャ: WAF + 静的 IP → Global Accelerator(Anycast 静的 IP)の前に ALB、WAF は ALB に(アプリと同じリージョン)。
AWS Shield と AWS Firewall Manager
Shield
- Shield Standard: 無料、全顧客向けにオン;一般的な L3/L4 攻撃(SYN/UDP フラッド、反射攻撃など)を緩和。
- Shield Advanced: 任意の有償ティア(コースでは組織あたり 約 3,000 ドル/月 規模 — 料金確認);EC2、ELB、CloudFront、Global Accelerator、Route 53 への DDoS 緩和を拡大;24/7 DDoS 対応チーム(DRT);攻撃時のスケールアウトに対する コスト保護;L7 向けの自動アプリケーション層緩和で WAF ルールを作成・調整する場合あり。
Firewall Manager
- メンバーアカウント横断の 組織レベル セキュリティポリシー:WAF ルール、Shield Advanced 設定、EC2/ALB/ENI の セキュリティグループ ベースライン、Network Firewall、Route 53 Resolver DNS Firewall。
- ポリシーはリージョンごとに定義され 組織 に複製;新しい リソース(例:新しい ALB)に自動でポリシーを適用できる — 単一アカウント の WAF だけの場合との差別化。
- 位置づけ: 単発/単一アカウント は WAF のみ;複数アカウント で WAF(および他ファイアウォール)を 標準化・自動化 するには Firewall Manager;組織 全体への Shield Advanced 展開にも Firewall Manager が使える。
- コンソールデモでは Firewall Manager のポリシーごとの月額に触れることが多い — ラボでは個人アカウントで Subscribe しない。
組み合わせ
WAF + Shield Advanced + Firewall Manager は補完関係:WAF で ACL を定義し、Firewall Manager で マルチアカウント の一貫性をオーケストレーション、DRT・コスト保護・攻撃下での L7 WAF 自動調整が必要なら Shield Advanced を追加。
Amazon Inspector
- EC2(SSM エージェント経由 — インスタンスは Systems Manager で管理)、ECR へプッシュしたコンテナイメージ、デプロイ時の Lambda の CVE/依存関係の継続評価;EC2 のネットワーク到達性分析。
- 結果は Security Hub と EventBridge へ;リスクスコアで優先度付け。
- 料金/トライアル: リソース課金やトライアルに言及 — ラボ終了後は無効化。
Amazon Macie
- S3 内の機微データ(例:PII)を ML とパターンマッチングで発見するフルマネージド サービス。
- アラートは EventBridge → SNS、Lambda など。コースでは Macie をこのセクションでは S3 中心に。
監査ログと分析
よく使うセキュリティ/監査ログのソース:
| ソース | 役割(概要) |
|---|---|
| CloudTrail | API とコンソールの 監査 |
| AWS Config | 時系列の 設定 と コンプライアンス |
| CloudWatch Logs | アプリ/サービス ログ、保持 |
| VPC Flow Logs | VPC 内 IP トラフィック の可視化 |
| ELB access logs | ロードバランサ経由リクエストの メタデータ |
| CloudFront logs | ディストリビューションへのビューリクエスト |
| WAF logs | WAF が評価したリクエスト |
試験の型: ログを S3 に置き Athena で分析(例:EC2 がなくなったあと ELB アクセスを調査)。ログバケットを強化:暗号化、IAM /バケットポリシー、MFA;コンプライアンスで イミュータビリティ が必要なら Glacier/S3 Object Lock/Vault Lock 型の長期保持。
Amazon GuardDuty
- ML、異常検知、脅威インテリジェンス による脅威検出;エージェント不要;コースでは 30 日 トライアル。
- 主なデータソース: CloudTrail(通常と異なる 管理 および S3 データプレーン API を含む)、VPC Flow Logs、Route 53 Resolver の DNS ログ(例:侵害を示唆する不審またはエンコードされたクエリ)。
- 任意のデータソース(コース・製品リストは要確認):EKS 監査ログ、RDS/Aurora ログイン活動、EBS、Lambda ネットワーク活動、S3 データイベント、ランタイム 監視など。
- Findings → EventBridge → Lambda、SNS など。
- 仮想通貨マイニング 活動は試験で専用の finding ファミリーとして触れられる。
AWS Trusted Advisor
- インストール不要;コスト最適化、パフォーマンス、セキュリティ、耐障害性、サービス制限、運用の卓越性 の高レベルチェック(例:EBS/RDS のパブリックスナップショット、IAM 衛生)。
- 無料 ティア vs Business/Enterprise サポートで全チェック と AWS Support API。
- 連携:Security Hub、Config、Compute Optimizer;サービス制限 使用量などのメトリクスで CloudWatch アラーム → SNS。
- Organizations: 全機能 かつ対象の サポート プランがあるとき、管理アカウント から Trusted Advisor の集約ビュー;trusted access/委任管理者 をドキュメントどおり有効化。
AWS Security Hub
- 一元 セキュリティ姿勢ダッシュボード;GuardDuty、Inspector、Macie、IAM Access Analyzer、Systems Manager、Firewall Manager、Health、Config、パートナー 製品の findings を集約。
- Security Hub の 設定駆動 チェックには AWS Config の有効化が前提。
- セキュリティ標準(例:CIS AWS Foundations)と自動チェック;findings を EventBridge へ;調査と根本原因分析に Amazon Detective。
- マルチアカウント: Organizations と統合;委任 Security Hub 管理者 でメンバー横断の設定(例:CIS の一括実行)を任意で。
- 料金: チェックごと・finding 取り込み 課金;コースでは 10,000 件までの finding イベント 無料枠 と 30 日 トライアル — 最新料金を確認。
AWS Audit Manager
- GDPR、HIPAA、PCI DSS、SOC 2 などのフレームワークに対する継続的な リスク と コンプライアンス 評価。
- フレームワーク を選び、スコープ(アカウント、リージョン、サービス)を定義し、証拠フォルダ に自動収集された証拠を集め、コントロールレビュー(委任可)、是正 を追跡し、監査向け レポートをエクスポート。
AWS KMS(Key Management Service)
基本
- IAM と統合された認可;キーの毎回の利用は CloudTrail で監査可能(試験でよく出る)。
- 対称鍵: 暗号化と復号に同じ鍵材料;生の鍵バイトはエクスポートしない — KMS API のみ。ほとんどの AWS サービス 連携のデフォルト。
- 非対称鍵: 公開暗号化/秘密復号(または署名/検証);公開鍵は KMS を呼べない AWS 外 のクライアントに配布可能;秘密鍵の利用は API のみ。
キーの種類
| 種類 | メモ |
|---|---|
| AWS owned | 無料;内部利用(デフォルト SSE-S3/DynamoDB サーバーサイド暗号化の話など)。 |
| AWS managed | 無料;aws/<service> 形式の alias;キーポリシー は多くの場合 ViaService で所有サービスに制限(例:EBS の EC2)。 |
| Customer managed | キーポリシー を自分で管理;コースではキーあたり 約 1 ドル/月 + 10,000 回 API あたり約 0.03 ドル — 料金確認。 |
キーポリシーとクロスアカウント
- すべての KMS キーにキーポリシーが必須 — なければ誰もキーを使えない(S3 バケットだけ IAM より厳しい話)。
- デフォルトのキーポリシー:アカウント + IAM を信頼して細かい allow。
- カスタムポリシーで最小権限とクロスアカウントアクセス(例:暗号化 EBS スナップショットを共有:ソース側 CMK ポリシーが相手アカウントを信頼;相手がスナップショットをコピーし自分の CMK で再暗号化)。
リージョナルキーと EBS
- キーはリージョン単位。クロスリージョンの EBS スナップショットコピーは、宛先リージョンの CMK で再暗号化される(そのワークフローでは同一論理キーがリージョンをまたがない)。
ローテーション
- AWS 管理 KMS キー: 約毎年自動ローテーション。
- カスタマー管理の対称鍵: 90 ~ 2,560 日の間で自動ローテーションをオプション(デフォルトは約 1 年の話が多い);自動およびオンデマンドローテーションは同じキー ID を保ちつつバッキングキー材料が入れ替わる;古い暗号文は復号可能。
- オンデマンドローテーション: カスタマー管理の対称鍵のみ;自動スケジュールを置き換えない;頻度はサービスクォータの対象。
- 手動ローテーション: KMS の自動より速い周期が必要な場合など — 新しいキー(新しいキー ID)を作成し、古いキーは復号のために残し、UpdateAlias でエイリアスを付け替えてアプリは同一エイリアス名を維持。
- 非対称およびインポートキー:エイリアスベースの手動ローテーションパターン;インポートキーは手動の材料更新フロー(エイリアスが役立つ)。
マルチリージョンキー(MRK)
- プライマリと他リージョンのレプリカが同一キー ID と同一鍵材料を共有し、リージョン A で暗号化してリージョン B で暗号文を再暗号化せず復号できる(プライマリのローテーションはレプリケート)。
- 各レプリカは独自のキーポリシー;MRK は単一の「グローバル」オブジェクトではない。
- グローバル DynamoDB/Aurora、クロスリージョンのクライアント側暗号化など、本当に論理 1 キーが必要なときに。原則はリージョナルキーを優先し、MRK の明確な理由がない限り。
削除と安全
- 削除をスケジュールすると 7–30 日の待機期間。削除待ち中はキーを暗号化操作に使えない(依存サービスが失敗);スケジュールされたローテーションは停止;期間中は削除をキャンセル可能。
- 不明なときは無効化を先に。自動化: 削除待ちキーをまだ参照するアプリがあると KMS 呼び出しが拒否される — CloudTrail → CloudWatch Logs メトリクスフィルタ → アラーム → SNS。
EBS の CMK を変える
- 既存の EBS ボリュームの CMK をその場で変えられない:スナップショット → スナップショットから新しいボリュームを作成し新しい KMS キーを選択(再暗号化パス)。
AWS Certificate Manager(ACM)
- ALB/CLB/NLB、CloudFront、API Gateway 上の HTTPS 用 TLS 証明書のプロビジョニング・管理・デプロイ — ACM が発行したパブリック証明書を任意の EC2 にエクスポートする用途ではない(ACM 発行のパブリック証明書の秘密鍵は ACM の信頼境界内)。
- パブリック ACM 証明書:無料;ACM が発行した証明書は約60 日前から自動更新。
- 検証: DNS(自動化には推奨;Route 53 がレコードを自動作成可能)またはドメイン連絡先へのメール。
- インポートしたパブリック証明書:ACM の自動更新なし;EventBridge が約45 日前から毎日期限イベントを発行(設定可能);AWS Config マネージドルール
acm-certificate-expiration-checkが期限が近い証明書を非準拠に — Lambda/SNS/SQS へ連携可能。 - ALB: HTTP → HTTPS のリスナールールは任意。
- API Gateway カスタムドメイン: Edge-optimized → トラフィックは CloudFront 経由 → ACM は us-east-1;Regional → API ステージと同じリージョンの ACM;Private API → VPC インターフェースエンドポイント + リソースポリシー。
AWS Secrets Manager と Systems Manager Parameter Store
Secrets Manager
- シークレット向けに、Lambda でのスケジュール付き自動ローテーションをオプション(RDS、Redshift、DocumentDB などの AWS 管理ローテーション Lambda、または API キーなどのカスタム Lambda)。
- 保存された秘密の材料には KMS 暗号化が必須。
- マルチリージョンシークレット: 他リージョンへレプリケート;DR 後にレプリカを昇格。
- 料金(コースの目安):シークレットあたり約 0.40 ドル/月、10,000 API 呼び出しあたり約 0.05 ドル、30 日 トライアル — 料金確認。
- CloudTrail は API 呼び出しと Secrets Manager 固有の非 API イベント(例:RotationStarted、RotationSucceeded、RotationFailed、RotationAbandoned、シークレットバージョン削除のライフサイクル)を記録。RotationFailed のメトリクスフィルタ → CloudWatch アラーム → SNS;失敗したローテーションは Lambda の CloudWatch Logs でデバッグ。
Parameter Store
- より広いパラメータ保管;低コスト;KMS 暗号化は任意(SecureString)。
- ネイティブのローテーションなし — EventBridge スケジュール → Lambda で資格情報をローテーションしパラメータを更新。
- コースで挙がる統合では SSM API 経由で Secrets Manager のシークレットを参照できる場合あり。
要点
- WAF = L7 のみ;ALB、API Gateway、CloudFront、AppSync、Cognito — NLB ではない;CloudFront ACL は us-east-1 のグローバル;静的 IP + WAF は GA + ALB + WAF。
- Shield Standard と Advanced;Firewall Manager で マルチアカウント の WAF/Shield/SG/Network Firewall/DNS Firewall と新規リソースの自動適用。
- Inspector = ECR/EC2/Lambda の CVE 型スキャン + 到達性;Macie = S3 の PII 発見。
- ログ ソース → S3 → Athena;ログバケットをロックしコンプライアンス向けに保持。
- GuardDuty = CloudTrail + VPC Flow + DNS(+ オプション);マイニング findings;EventBridge 自動化。
- Trusted Advisor = 6 つの柱;Business/Enterprise で全機能;Org 集約はサポートと trusted access が適切なとき。
- Security Hub の前提は Config;主要セキュリティサービス + パートナー の findings を集約;調査は Detective;マルチアカウント は委任管理者。
- Audit Manager = GDPR、HIPAA、PCI、SOC 2 などの継続的フレームワーク証拠。
- KMS = キー利用はすべて CloudTrail;対称/非対称;AWS owned/AWS managed/customer managed;キーポリシー必須;クロスリージョン EBS = 再暗号化;クロスアカウント暗号化スナップショット = キーポリシー + コピー + 宛先 CMK;ローテーション と エイリアス による手動ローテーション;MRK は特定のクロスリージョン暗号モデル;削除待ち中は暗号化不可;EBS CMK 変更はスナップショット経由。
- ACM = マネージド AWS エンドポイント向け TLS;DNS 検証 + 自動更新;インポート証明書は EventBridge/Config で管理;API Gateway エッジ = us-east-1 cert。
- Secrets Manager = ローテーション + KMS + マルチリージョン + 豊富な CloudTrail イベント;Parameter Store = 安価、柔軟、DIY ローテーション、KMS は任意。
関連記事:AWS DataSync and AWS Backup: Disaster Recovery Notes。
Claudeによる翻訳
