まず”どのレイヤーで、何から守るか”を一枚で掴み、その後に監視・検知・監査・データ保護までを体系立てて解説します。
レイヤーと役割の対応(速見表)
| コンポーネント | 主なレイヤー | ステート | スコープ/設置位置 | 何から守る? |
|---|---|---|---|---|
| AWS WAF | L7 (HTTP/S, API) | —(リクエスト評価) | ALB / API Gateway / CloudFront / AppSync / Cognito / App Runner / Verified Access / Amplify の前段 | OWASP Top10、ボット、レート制御、IP/Geo 制御 |
| Security Group (SG) | L3/L4 | ステートフル | ENI(EC2、ALB/NLB など)単位 | インスタンス/ENI への到達制御(許可のみ) |
| Network ACL (NACL) | L3/L4 | ステートレス | サブネット単位 | サブネット境界の粗い許可/拒否(ルール番号順) |
| ALB | L7 | — | アプリ公開の終端 | TLS ポリシー、Cognito/OIDC 認証、WAF 取付点 |
| NLB | L4 (TCP/UDP/TLS) | — | 高スループットの入口 | TLS パススルー/終端、SG を関連付け可(作成時) |
| Shield / Network Firewall / DNS Firewall | L3〜L7 | — | エッジ/境界/東西 | DDoS 緩和、DPI/URL・ドメイン制御、DNS 脅威対策 |
根拠:WAF の対応リソース、SG のステートフル性、NACL のステートレス/評価順序、ALB の認証、NLB の SG 対応など。(AWS ドキュメント)
L7アプリ防御:AWS WAF(Web ACL)
WAF は HTTP(S) リクエストを検査し、CloudFront / ALB / API Gateway / AppSync / Cognito / App Runner / Verified Access / Amplify などに取り付けてアプリ層を守ります。マネージドルールやレートベース、IP セット、ボット対策を組み合わせるのが基本です。L3/4 のDDoSは Shield と役割分担します。(AWS ドキュメント)
インスタンス到達の最小化:Security Group(SG)
SG は ENI 単位でイン/アウトの許可のみを定義し、戻り通信は自動許可されるステートフル動作。日々の細粒度な到達制御の”主役”です(EC2 だけでなく ELB の ENI にも適用)。(AWS ドキュメント)
サブネット境界の粗いゲート:Network ACL(NACL)
NACL は サブネット単位でステートレス。番号の小さい順に評価され、往復分のルールを明示します。サブネット全体の”地ならし”(例:特定レンジの遮断)や二重化に向きます。(AWS ドキュメント)
L7 終端+認証ゲート:ALB
Application Load Balancer は TLS を終端し、セキュリティポリシーで暗号スイートを統制。さらにCognito/OIDC でユーザー認証を前段で要求できます。WAF を併用して「認証→検査→転送」という王道構成に。(AWS ドキュメント)
L4 高速入口:NLB(Network Load Balancer)
Network Load Balancer は L4 で超高スループット/低レイテンシの入口。TLS パススルー/終端のどちらも可能で、作成時に SG を関連付けて受け付け元を絞り込めます(推奨:作成時に付与)。L7 検査は持たないため、必要に応じ WAF/Network Firewall と重ねます。(AWS ドキュメント)
監視・検知・監査・データ保護・運用
1) トラフィック監視・ログ監視
- VPC Flow Logs:VPC/サブネット/ENI の IP トラフィックを記録。出力先は CloudWatch Logs / S3 / Firehose を選べます。東西・南北の把握に必須。(AWS ドキュメント)
- Traffic Mirroring:特定 ENI のパケット複製をミラーツーゲットに送出。DPI/IDS、トラブルシュート、スレットハンティングに。(AWS ドキュメント)
- CloudWatch Logs & Logs Insights:ログを集中管理し、クエリや可視化、ダッシュボード、保存クラスを活用。(AWS ドキュメント)
- メトリックフィルタ & アラーム:ログからメトリクス化→しきい値で SNS 通知/自動対応。(AWS ドキュメント)
- サブスクリプションフィルタ:ログを Kinesis Data Firehose へストリームし、SIEM など外部に連携。(AWS ドキュメント)
- CloudWatch(全体像):複数アカウント/リージョンの集中監視やダッシュボードを構築。(Amazon Web Services, Inc.)
近年は Security Lake を使って各種セキュリティログを OCSF 形式で S3 ベースのデータレイクに集約するパターンも一般的。SIEM/分析基盤と相性が良いです。(AWS ドキュメント)
2) 脅威検知と見える化
- Amazon GuardDuty:CloudTrail/VPC Flow Logs/DNS/EKS 監査ログなどを機械学習や脅威インテリジェンスで解析するマネージド脅威検知。(AWS ドキュメント)
- AWS Security Hub:GuardDuty/Inspector などの検出結果を集約し、ベンチマーク(CIS/AWS Foundational Best Practices)に照らして posture を可視化。(AWS ドキュメント)
- Amazon Detective:ログをグラフ化してインシデントの因果を可視化。GuardDuty/Security Hub と連携して調査を高速化。(AWS ドキュメント)
3) 監査・変更追跡・コンプライアンス
- AWS CloudTrail:コンソール/CLI/API の操作履歴を記録し、監査・説明責任を担保。(AWS ドキュメント)
- AWS Config:リソースの設定変更履歴と準拠性評価(マネージドルール)。Well-Architected のセキュリティ原則との対応表も用意。(AWS ドキュメント)
- Organizations の SCP:アカウント横断で許可の上限を定義し、ガードレールを適用。Control Tower と組み合わせて統制。(AWS ドキュメント)
4) ネットワーク境界の強化
- AWS Shield:L3/4中心の DDoS 緩和(Standard は自動付帯、Advanced は拡張防御/可視化/SLAs)。(AWS ドキュメント)
- AWS Network Firewall:VPC にステートフル/DPIのゲートを配備。URL/ドメイン/シグネチャやTLS 解除検査にも対応。(AWS ドキュメント)
- Route 53 Resolver DNS Firewall:VPC のアウトバウンド DNS をフィルタ。既知悪性ドメインや DGA/トンネリング対策。(AWS ドキュメント)
5) データ保護と秘密情報の管理
- AWS KMS:各サービスの暗号化の鍵管理を統合。鍵は KMS 内で保護され、ポリシーで厳格に制御。(AWS ドキュメント)
- AWS Secrets Manager:DB 認証情報や API キー等を安全に保管・ローテーションし、ハードコードを排除。(AWS ドキュメント)
- Amazon S3 Block Public Access:バケット/アカウント単位で公開設定を一括遮断(既存/将来の公開化も抑止)。(AWS ドキュメント)
- AWS Certificate Manager (ACM):TLS 証明書の発行/更新/配備をマネージド化(ELB/CloudFront/API Gateway と統合)。(AWS ドキュメント)
6) 運用の一元化とインシデント対応
- AWS Firewall Manager:WAF/Shield/SG/Network Firewall/DNS Firewall のポリシーを中央管理し、アカウント全体へ自動適用。(AWS ドキュメント)
- AWS Systems Manager Incident Manager:エスカレーション/Runbook/チャット連携等でインシデント対応を標準化。(AWS ドキュメント)
- Well-Architected・Security Pillar:設計原則(アイデンティティ、検知、インフラ保護、データ保護、インシデント対応)に沿って継続改善。(AWS ドキュメント)
- Amazon Security Lake:セキュリティログをOCSF へ正規化し中央集約、横断分析・調査の土台を整備。(AWS ドキュメント)
すぐ使える”現実解”の重ね合わせ(最小構成例)
- エッジ:CloudFront(+ WAF) /公開エンドポイントは Shield Standard 前提。(AWS ドキュメント)
- 入口:ALB で TLS/認証 → 背後ターゲットは SG で ALB のみ許可。(AWS ドキュメント)
- VPC 内:細粒度は SG、粗い遮断や非常停止は NACL。(AWS ドキュメント)
- 監視:VPC Flow Logs を CloudWatch Logs へ、Logs Insights とメトリックフィルタ+アラームで運用監視。必要に応じ SIEM へストリーム。(AWS ドキュメント)
- 検知/集約:GuardDuty → Security Hub → Detective の三点セット。(AWS ドキュメント)
- 監査・準拠:CloudTrail 全リージョン有効化、Config マネージドルール+SCP ガードレール。(AWS ドキュメント)
- データ保護:KMS で暗号化、Secrets Manager で認証情報、S3 Block Public Access をアカウントレベルで有効化。(AWS ドキュメント)
参考:公式の”総合窓口”
- Well-Architected – Security Pillar(設計の指針)(AWS ドキュメント)
- CloudWatch ログ&監視ガイド(設計/実装のプリスクリプティブガイド)(AWS ドキュメント)
- Security Lake(ログ中央集約/OCSF 正規化)(AWS ドキュメント)
- Firewall Manager(マルチアカウントのポリシー一元化)(Amazon Web Services, Inc.)
