クラウドセキュリティの基礎
すべてのクラウドユーザーが知るべきセキュリティの基本——IAMと最小権限から暗号化、ゼロトラスト、データ漏洩につながる代表的な設定ミスまで。
🔄 前回のおさらい: レッスン4で無料枠を使って初めてのクラウドリソースをデプロイし、StopとTerminateの違い、請求アラートの重要性を学びました。ここではクラウドで構築するすべてを守るセキュリティの基礎を学びます。
クラウドセキュリティは全員の仕事
知っておくべき事実:クラウドのデータ漏洩の大多数は、高度なハッカーがプロバイダーの防御を突破したのではなく、ユーザー自身の設定ミスが原因です——ストレージバケットの公開設定、過剰なIAM権限、コードへの認証情報の混入。
クラウドプロバイダーはセキュリティに数十億ドルを投資しています。インフラは安全です。最も一般的な障害点は、人間がどう設定するかです。
だからこそ、セキュリティチームだけでなく、S3バケットを作成する人、IAM権限を設定する人、環境変数を含むコードをプッシュする人——すべてのクラウドユーザーにセキュリティリテラシーが必要です。
IAM:クラウドセキュリティの土台
IAM(Identity and Access Management)は、クラウド環境で誰が何をできるかを制御するシステムです。クラウドセキュリティで最も重要な仕組みです。
IAMを理解するために、クラウド設定を監査してください。
現在の状況:
- 5人のチームメンバーがクラウドアクセスを持つ
- 役割:[管理者、開発者、データアナリスト、マーケティング、経理]
- 現状:全員が同じ管理者レベルのアクセスを持っている
以下を手伝ってください:
1. 各役割が実際に必要なアクセス権(具体的なサービスとアクション)
2. 最小権限に基づく各役割のIAMポリシー
3. 各役割での「最小権限」の具体例
4. 現在の全員管理者状態を放置した場合のリスク
最小権限の原則
最小権限とは:すべてのユーザーに、職務に必要な最小限の権限だけを付与する。
| 役割 | アクセスが必要 | アクセス不要 |
|---|---|---|
| 開発者 | コードデプロイ、ログ閲覧、開発環境管理 | 課金、本番DB、IAM管理 |
| データアナリスト | DB読み取り、クエリ実行、レポートエクスポート | DB書き込み、インフラ変更 |
| 経理 | 請求ダッシュボード、コストレポート | インフラやデータへのアクセス |
| マーケティング | 分析ダッシュボード、コンテンツストレージ | コードデプロイ、DBアクセス |
| 管理者 | すべて——ただし必要な時だけ | 日常業務には通常アカウントを使用 |
✅ 確認クイズ: なぜ管理者でも日常業務には通常(非管理者)アカウントを使うべきですか?→ほとんどの日常作業に管理者権限は不要です。通常アカウントで日常業務を行うことで、アカウント侵害時の被害を限定し、誤操作のリスクを減らし、権限昇格の監査証跡を残せます。
暗号化:すべての層でデータを保護
クラウドデータは2つの段階で暗号化が必要です:
保存時(at rest): ディスク、データベース、ストレージバケットに保存されたデータ。主要クラウドプロバイダーはこれをデフォルトで提供することが多い。
転送時(in transit): サービス間、リージョン間、クラウドとユーザー間を移動するデータ。TLS/HTTPSが必要。
クラウド環境の暗号化状態を監査してください。
使用サービス:
- [クラウドストレージ、データベースなどをリスト]
各サービスについて確認:
1. 保存時の暗号化は有効?(デフォルトで有効か、手動で有効化が必要か)
2. 転送時の暗号化は強制?(HTTPSは必須か、HTTPも許可されているか)
3. 暗号化キーの管理者は?(プロバイダー管理か顧客管理か)
4. 推奨される暗号化設定は?
ゼロトラスト:何も信頼せず、すべてを検証
従来のセキュリティは、社内ネットワーク内は安全と仮定していました。ゼロトラストは何も安全ではないと仮定します:
- すべてのリクエストは、送信元に関係なく認証される
- すべてのユーザーは最小限のアクセス権のみ(最小権限)
- すべてのセッションは異常な行動がないか監視される
- ネットワークの場所(ファイアウォールの内側か外側か)は信頼の要因にならない
クラウド環境では、自社のクラウドネットワーク内からのリクエストだからといって正当とは限りません。IDを確認し、権限をチェックし、すべてをログに記録します。
✅ 確認クイズ: ゼロトラストと従来のネットワークセキュリティの違いは?→従来のセキュリティはネットワーク境界の内側を信頼します(城壁のある城——中に入れば信頼される)。ゼロトラストはすべてのリクエストを検証します(建物の各部屋に別々のカードキーが必要——中にいても)。明確な「内側」がないクラウド環境では、ゼロトラストが適切なモデルです。
よくあるクラウドセキュリティのミス
| ミス | 発生原因 | 予防策 |
|---|---|---|
| S3バケットの公開 | デフォルト設定の変更、ポリシーの設定ミス | アカウントレベルで「パブリックアクセスブロック」を有効化 |
| 認証情報のハードコーディング | APIキーをGitリポジトリにコミット | 環境変数またはSecrets Managerを使用 |
| 過剰なIAM権限 | 「とりあえず管理者権限を」が恒久化 | ゼロ権限から始め、必要な権限だけ追加 |
| MFA未設定 | 多要素認証が有効化されていない | すべてのアカウント、特に管理者でMFAを有効化 |
| 未使用リソースの放置 | 古いインスタンス、忘れたテスト環境が稼働中 | アクティブリソースの月次監査 |
まとめ
- クラウドの漏洩の大多数は設定ミスが原因——セキュリティはすべてのクラウドユーザーの責任
- IAM(Identity and Access Management)が土台:最小権限を適用し各ユーザーに必要最小限の権限のみ付与
- データは保存時(at rest)と転送時(in transit)の両方で暗号化——片方だけでは不十分
- ゼロトラストは送信元に関係なくすべてのリクエストを検証——境界のないクラウド環境に適したモデル
- よくあるミス(公開ストレージ、ハードコード認証情報、過剰IAM、MFA未設定)は基本的なセキュリティ対策で防げる
次のレッスン: クラウドのコスト管理とFinOps——支出の監視方法、請求の急増を防ぐ方法、AIを活用したコスト最適化を学びます。
理解度チェック
まず上のクイズを完了してください
レッスン完了!