AWSでもセキュリティ対策を!SSL証明書を使ったセキュリティ性アップについて。
そもそもAWSって何?
AWSというのは「Amazon Web Services」の略称で、Amazonが提供しているクラウドコンピューティングプラットフォームです。AWSのユーザーは現在全世界で増加しており、世界中の企業や個人に、高い信頼性とスケーラビリティを備えたクラウドコンピューティングサービスを提供しています。AWSは複数のサービスの集合体で、提供されているサービスの例としては、仮想マシンやデータストレージ、データベース、アプリケーション開発プラットフォーム、ネットワークサービス、セキュリティ、アナリティクスなどがあり、その種類は多岐に渡ります。AWSのデータセンターは世界中に展開されており、それぞれのリージョンに分かれてデータセンターを管理している一方で、各データセンターは連携を取ることができるため、高い信頼性とセキュリティを確保することができています。このように複合的なセキュリティ対策や冗長性を備えたインフラを提供しているため、AWSはビジネスの成長に合わせて規模を拡大したり機能を拡張することが可能です。こうしたスケーリング能力の高さから、AWSはコスト効率に優れたクラウドプラットフォームとして、多くの企業に利用されているのです。
クラウドコンピューティングとは?
AWSはクラウドコンピューティングプラットフォームだとご紹介しましたが、ではそもそもクラウドコンピューティングとは何でしょうか?
クラウドコンピューティングとは、インターネットを通じてリモートのサーバーやデータセンター上にあるコンピューターを利用して、データ処理やアプリケーションを実行したりすることです。このようなデータセンター上にあるコンピューターのことを「仮想マシン」と呼びます。つまり、自社にコンピューターの実機を持つのではなく、インターネット上に構築された仮想サーバー上にコンピューターと同じ役割を担えるプログラムが置かれていて、そこにアクセスすることでコンピューターを操作するのと同じことができるということです。
従来のPCやサーバーを使う場合は、自社で必要なハードウェアやソフトウェアを用意して、自社内にデータセンターやサーバールームを備え、そこに機材を設置して運用する必要がありました。しかし、クラウドコンピューティングを利用することにより、自社でハードウェアやソフトウェアを用意することなく、必要な分だけインターネットを介して利用することができるのがクラウドコンピューティングです。
クラウドコンピューティングを利用するメリットは、自社でのハードウェアやソフトウェアの購入や運用コストを大幅に削減できること。さらに、必要な時に必要な分だけリソースを利用できることなどが代表的なメリットとしてあげられます。また、データのバックアップやセキュリティ対策などの管理もAWSのようなクラウドプロバイダーが行ってくれるため、自社の費用的な負荷を軽減することができます。
セキュリティを高めるための技術=SSLとは?
クラウドかどうかということに関わらず、インターネット上のコンテンツはWebサイトも含めて常にセキュリティ対策が求められます。商用サイトや商用コンテンツであればそれはなおさら重要な課題だと認識されており、そのために各企業が様々なセキュリティコストを投入して対策に当たっています。
SSL=Secure Sockets Layerはデータの暗号化や送信元認証を行うことで、Webサイトのセキュリティを高めるための技術です。AWSはもともとセキュリティ性が高いことにも定評があるサービスですが、SSLを使用することで、AWSの仮想サーバー上に構築した自社のWebサイトや商用Webサイトのセキュリティを向上させることができます。具体的に例を上げると、SSLを使うことでWebサイトにアクセスする際にデータが暗号化されることになるため、外部からの盗聴や改ざんなど、いわゆる「不正アクセス」に分類される悪意ある第三者の攻撃から保護されます。また、SSLを利用することでWebサイトの信頼性が向上し、Webサイトの堅牢性を内外にアピールできるため、ユーザーの信頼を得ることに繋がります。
AWSにはSSLを利用するためのさまざまなサービスが用意されています。例えば、AWS Certificate Manager =ACM を使用することによってSSL証明書を簡単に取得し、さらに自動的にインストールすることが可能です。また、Elastic Load Balancing=ELBやCloudFrontを利用することで、SSLを使用した負荷分散やコンテンツ配信を行うこともできます。
このように、SSLを使うことでWebサイトのセキュリティを高めることが可能となり、それがユーザーの信頼を得ることに繋がりますので、SSLを使うこと事態がビジネスにとって重要な要素になっています。
なぜSSLを使うのか?
データの暗号化を行うSSLを使う理由、特にもともとセキュリティ性が高いと言われているAWSでSSLを使う理由にはどのようなものがあるのでしょうか?理由は主に2つです。
1つ目の理由=「セキュリティ性のさらなる向上」
SSLは、通信内容のデータを暗号化して送受信する技術です。つまり、Webサイトなどの通信内容が第三者に盗聴されたり改ざんされたりすることを防ぐことができます。SSLを使用することで、Webサイト上でのデータ保護などに関するセキュリティ性を向上させ、ユーザーの個人情報やクレジットカード情報などを保護することができます。
そのため、主にユーザーの個人情報や支払いに関する情報を扱うことが多いショッピングサイトや、会員制サービスのアカウントページなどは、現在ほとんどがSSL化されていて、SSL化されていないサイトに対する信頼度は以前と比べて格段に下がってしまう傾向にありますので、WebサイトのSSL化は重要な課題だと言っていいでしょう。
SSL化されているかどうかは、Webサイトのアドレスバーに表示される「https://」や、ブラウザに表示される「ロックアイコン」などで確認することができます。SSL化されているサイトであれば、ユーザーの個人情報や支払いに関する情報が暗号化され、第三者による盗聴や改ざんを防止することができます。そのため、Webサイト運営者SSL化を行うことで、ユーザーの信頼を得ることができ、ビジネスにとってもメリットがあると言えます。
2つ目の理由=「SEO対策の向上」
SSLはAWSを使っていてもいなくても、Webサイトのセキュリティを向上させる技術ですが、一般的に人は何かをWeb上で検索する時に現代だとGoogle検索を使う傾向が高くなっています。現在のGoogle検索は、HTTPS化されている「暗号化されたWebサイト」を高く評価し、そういったWebサイトが上位に表示され、ユーザーにもこのような高い評価をされているWebサイトを訪問させたがる傾向があります。
WebサイトやWebコンテンツを検索順位の上位に表示させるようにする対策のことをSEOと呼びますが、SSLを使用することでWebサイトは暗号化され、保護されている「HTTPS化」されることになるので、WebサイトのSEO対策が向上することに寄与すると考えられています。例えば、Googleが開発しWebブラウザとしても高いシェアを誇るGoogle ChromeではHTTPSで暗号化されたWebサイトの表示がそもそも推奨されていて、HTTPS化されていないWebサイトを表示する際には警告が出るようになっています。SSLを使ってWebサイト全体のセキュリティを向上させることはそれだけ重要な項目だと位置づけられているため、AWSでSSLを使用することはWebサイトのセキュリティとSEO対策の両面において有効な手段であると言うことができるでしょう。
SSL証明書とは?
AWSでもSSLを使うことが重要であることはご説明しました。SSLを使用する場合には「SSL証明書」というものがWebサイトに対して発行され、それが閲覧するユーザーにも開示されるので、ユーザーは自分が見ているサイトがSSL化されているのかどうかを判別することが可能です。
それでは、そもそも「SSL証明書」というのはどんなものなのかを整理してみましょう。
SSL証明書の目的
SSL証明書というのは、Webサイトとユーザー=訪問者の間で行われる通信を暗号化するためのセキュリティー技術の一つでです。ここまでご紹介してきたようにWebサイトが安全で信頼できるものだということを対外的に証明するためのものです。
SSL証明書はWebサイトのドメイン名や企業名、そしてそのドメインを持つ所有者(企業など)の所在地情報などを暗号化し、その情報を受信したユーザーのブラウザに表示される鍵型のアイコンや「https://」/のように、URLの先頭に表示される「s」の文字が付くによって、訪問者に「SSL化されていること」を証明し、信頼性を与えています。
SSL証明書の取得とWebブラウザ
SSL証明書を取得するには、SSL証明書を発行する業者に申請する必要があります。発行されたSSL証明書はWebサイトにインストールしなければ有効にはなりません。前述したように、SSL証明書にはWebサイトのドメイン名、企業名(個人の場合もある)、そして有効期限などが含まれていて、Webブラウザによって検証され、問題がなければ有効化されたままWebサイトが表示されます。ここ数年で顕著になっていますが、例えばGoogle Chromeの場合はSSL証明書によりSSL化されたWebサイトの表示を推奨しているため、URLが「https://」ではなく、SSL化されていないWebサイトを表示しようとすると、注意喚起の画面が表示されるようになっています。
インターネットへの常時接続や大容量データ、多種多様な個人情報のやり取りが当たり前になっている現代では、不正アクセスによる情報収奪などに代表されるサイバー攻撃や犯罪も増加しています。SSL証明書はショッピングサイトなどを含む様々なWebサイトとユーザーの間でやり取りされる重要な情報を暗号化することができるので、第三者による情報収奪きや違法な改ざん行為を防止するための重要な役割を果たすことになります。企業などにとっては、Webサイトを運営する上で、セキュリティーへの配慮が非常に重要であり、SSL証明書を取得することがはその一環として推奨されているのです。
SSL証明書はどのように取得し、どのように使うのか?
ここからは、SSL証明書の取得方法や、取得した後にどう使うのかということを、わかりやすいように実例を交えてご紹介していきましょう。
SSL証明書の取得と有効化
例えば、オンラインショップを例にして考えてみましょう。オンラインショップは、顧客がクレジットカードや個人情報を入力して注文します。このような重要情報を送信する際には、第三者からの不正アクセスによる情報漏えいなどを防ぐためにデータを暗号化する必要があります。そのために行われるのが、SSL証明書の取得です。
SSL証明書取得の手順としては、まず証明書を発行する「認証局」を選ぶ必要があります。SSL証明書を発行する有名な認証局は、例えばSimantecやComodo、そしてGlobal Signが知られています。SSL証明書の希望者は、認証局が求める、ドメイン名や企業情報の詳細などに代表される必要情報を提出します。必要情報の提出を受けた認証局は、そのドメインの所有権の確認を行う必要があるため、ドメインの所有者に対して確認の作業を実施します。以前は書面でのやり取りもありましたが、現在ではドメイン確認用のメールアドレスに認証局が認証メールを送信し、ドメイン所有者がそこに記載されたURLをクリックすることを証明作業にしていることが多くなっています。この認証が完了するとSSL証明書が発行されることになります。
SSL証明書が発行されたら、証明書を有効化するためにSSL証明書をサーバーにインストールしなければなりません。証明書をインストールすることにより、オンラインショップのWebサイトにアクセスした時のユーザー情報が暗号化され、クレジットカード情報などを含む重要な情報が保護されることになります
SSL証明書をインストールすることで、Webサイトが信頼できるものであることを示す「鍵マーク」が表示されるようになります。これにより、ユーザーは安心してオンラインショップを利用することができます。一方で、SSL証明書には有効期限があるので、定期的に更新する必要があります。証明書の種類によってはインストールのために特定の手順が必要な場合があります。そのため、SSL証明書の取得やインストールには、専門的な知識や経験が必要となる場合もあります。
SSL化により防止できるサイバー攻撃・犯罪
SSL化することのメリットの1つとしてセキュリティ性の向上があるとご紹介しました。セキュリティ性の向上とは、具体的に言うとサイバー攻撃、サイバー犯罪の抑止・防止ということになります。ここでは、SSL化することで防止できるサイバー攻撃やサイバー犯罪の例をご紹介しましょう。
マン・イン・ザ・ミドル攻撃
マン・イン・ザ・ミドル攻撃とは、通信の途中で攻撃者が中継点として立ち、データや情報の送信者と受信者の間に割り込んで通信内容を盗聴したり改ざんしたりする攻撃手法のことです。攻撃者は、あたかも自分が通信相手であるかのように振る舞い、送信者と受信者の間にある暗号化された通信を解読して情報を盗み出すことを狙っています。
このような攻撃を防止するためには、暗号化技術の使用や認証技術を導入し、攻撃者が情報を読み取ることができなくするような対策を取ることが必要になります。公共施設やカフェなどで提供される無料Wi-Fiの注意書きでパスワードや個人情報の送受信に気をつけるよう注意喚起がされているのは、このマン・イン・ザ・ミドル攻撃を警戒していることが大きな理由です。公衆Wi-Fiの場合は様々な理由で無償利用する全てのユーザーをカバーできるほどのSSL化がされていないこともあるため、重要な情報をやり取りする際には特に注意が必要になるのです。しかし、公衆Wi-Fiネットワークなどを使った通信でも、VPN(バーチャル・プライベート・ネットワーク)を使用することでマン・イン・ザ・ミドル攻撃からの保護を行うことは可能です。
データの改ざん
SSLを使用することによって通信内容が暗号化されるため、通信経路上の攻撃者は通信内容を改ざんすることができなくなります。また、SSLを使用することで通信相手が本物であることを確認することが可能になります。SSL証明書を取得したサーバーは、認証局によって検証され、証明書にはサーバーの情報も記載されています。
通信相手が本物であることを確認することで、フィッシング詐欺などの攻撃からも保護されますし、SSLを使用することで通信内容が第三者によって傍受されることも防止できます。通信内容が暗号化されているため、傍受されても内容を読み取ることができなくなるので、SSLはセキュアな通信を実現するために重要な役割を果たしています。
プライバシー情報漏洩
SSLを使用すると、通信内容が暗号化されるため、通信経路上の攻撃者が通信内容を盗み見することができません。そのため、SSLを使用することで、プライバシーの漏洩を防止できます。たとえば、SSLを使用してウェブサイトを保護することで、ユーザーのパスワードや個人情報が漏洩するのを防止できます。通信相手が本当にそのWebサイトの所有者かどうかということを確認してからSSL証明書が発行されているため、通信相手が偽装された場合には警告が表示されることになります。さらに、SSLを使用することで通信内容が改ざんされていないことも確認可能です。SSLでは、通信内容のハッシュ値を計算して、通信経路上で改ざんされていないかどうかを確認します。SSLを使用することで、通信内容のプライバシー保護や通信相手の確認、通信内容の改ざん防止など、セキュリティ上の多くのメリットが得られます。
AWSでSSL証明書を活用する
大規模なクラウドサービスであるAWSでは、データベースやWebサイト、ストレージなど様々なサービスが用意されていますが、そのどれもが重要な情報を扱うものです。そのため、情報の保護やセキュリティ性の確保は必須事項となっていて、AWSを利用するユーザーもSSLを導入して活用するケースが多々あります。
AWSでSSLを活用するやり方としてはACM=Amazon Certificate Managerを使ってSSL証明書を管理したり、AWS自信が提供できるSSL証明書を取得(無料)し自動管理することもできるようになります。ACMで取得したSSL証明書はELBやCloud Frontなど、他のAWSサービスでも横断して使用することができるため、AWSでSSL証明書を導入・活用することで、自社サービスのセキュリティ性を全体的に向上させることが可能になります。
まとめ
ここまで、AWSとSSLの関係性やAWSでSSLを活用する方法、SSLとはどのようなものかということをご説明してきました。AWSとSSLの関係性には、ACMを使ったSSL証明書の発行と管理も含まれます。ACMを使うことによってユーザーはAWS上で実行されているWebアプリケーションやサイトなどのセキュリティを強化できますし、ユーザーには安心感を与えることが可能になります。AWSとSSLを連携して使用することで、ユーザーは高度なセキュリティを実現しながら、Webアプリケーションやサイトを簡単にセットアップできます。サービスのセキュリティ性向上を計画する場合はぜひSSL証明書の導入を検討してみてください。
