簡単にできるAWSのセキュリティ強化②
～ AWS Config編 ～

投稿日: 2022/03/04

はじめに

こんにちは、高橋です。
前回の「簡単にできるAWSのセキュリティ強化①」から半年以上間が空いてしましましたが、今回は第2弾としてAWS Configについてご紹介したいと思います。こちらの機能は前回ご紹介したAmazon GuardDutyに比べれば利用しているユーザは見かけますが、まだまだ利用がされていない状況にあります。

１．AWS Configとは？

AWS ConfigはAWSリソースのインベントリ管理、構成変更管理のための、フルマネージド型サービスです。AWS ConfigはAWSリソースの構成情報のスナップショットを定期的に取得し、いつ、どの様な変更が行われたかを知ることができます。また、EC2にタグがきちんと設定されているか、EBSボリュームが暗号化されているか等の構成に関するルールを管理者が事前に定義し、AWS内のリソースがそのルールに準拠しているかを調べ、修復することが可能です。AWS ConfigはEC2やVPC、S3、Lambda等のよく利用されている主要なサービスに対応しています。具体的な対応サービスについてはこちらのAWSのサイト（https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/resource-config-reference.html）をご参照ください。
またAWS Configではルールと修復アクションをパッケージ化して利用するコンフォーマンスパックという機能があります。コンフォーマンスパックはAWS Organizations機能と統合されており、複数のAWSアカウントを同一のルールで運用することができます。

２．AWS Configの利用料金

AWS Configの利用料金は記録された AWS Config ルールの評価数に基づいて課金が行われます。

また、コンフォーマンスパックを利用している場合は、コンフォーマンスパック評価数に基づいて課金が行われます。

（料金は2022/2月時点のものです）

３．AWS Configの設定

では実際にAWS Configの利用を開始し、ルールを作成し、違反の有無を確認するまでの手順を試してみたいと思います。

AWS Configの利用はAWSコンソールにてAWS Configのページに移動し、「今すぐ始める」をクリックして開始します。

初期設定では対象リソース、ロール、記録を保存するS3バケット、SNSを用いた変更通知を設定します。ここでは全てのリソースを対象都市、そのほかはデフォルト設定とします。

続いて監査のルールを選択します。今回はS3バケットへのパブリックアクセスを選択します。

最後に設定内容を確認します。

以上、AWS Configを利用することが可能です。この他、独自に監査ルールをLambdaで設定し、リソースにそのルールを適用したり、ルールに違反した場合の修復アクションを設定したりして、自社で必要なルール/アクションを設定して利用することが可能です。

最後に取得した構成情報の確認やルールへの準拠状況を確認します。
リソースの構成情報は左のメニューからリソースを選択することで一覧が表示されます。

特定のリソースをクリックすることで、そのホストの構成情報を確認することができます。

また、ルールが設定されている場合、コンプライアンスのプルダウンメニューから準拠/日準拠を選択することで、リソースに対してルールの準拠/非準拠の情報を簡単に確認することができます。

さいごに

今回はAWS環境のセキュリティ強化の第２弾としてAWS Configについてご紹介しました。前回のAmazon GuardDutyと同様に利用するだけであれば簡単にセットアップを実行し、AWS環境の構成管理やルールに基づいた利用をすることができることがご確認いただけたかと思います。また、今回は紹介していませんが、独自ルールの設定し、より自社のルールに寄せてご利用いただくことも可能ですので、まだ利用をしていない方は是非利用を開始してみて下さい。

CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。