AWS RDSリソースの暗号化とは？暗号化の重要性とAWSでの必要性について

AWSにおけるセキュリティ

Amazonの代表的クラウドサービスAWS（Amazon Web Services）を運用するためのネットワークは、AWS VPCにより繋がっています。情報のセキュリティ強化が叫ばれる今の時代、外部ハッカーとの戦いが世界のどこかで繰り広げられています。

これから、AWS VPCシステム間のセキュリティを高めるために必要な、リレーショナルデータベース（RDS）の暗号化についてお話ししていきます。

データの暗号化とは？

データの暗号化とは、ネットワークを介してやり取りされるデータの内容が第三者に見えないように処理をして、データのセキュリティを高めるものです。

先ず、基本的なデータ暗号化の考え方と、実例について挙げていきます。

データ暗号化の考え方は？

AWSのようなクラウドサービスの利用者は、ネットワーク環境にある仮想のシステムの間でデータをやり取りする必要があり、機密性を保たなければなりません。

機密性を高めるために、ユーザーの間で取り交わされたルールに従って、データがユーザー以外から見えないようにすることが、データ暗号化と呼ばれるものです。

元のデータを、暗号化するシステムを使って暗号化するときに使われるのが暗号鍵です。この暗号鍵を使うと、元のデータが違うものに変ります。

暗号化されたデータを受け取る場合には、暗号化されたデータとは別に暗号鍵を受け取ることが多く、暗号鍵を使って復号して元のデータに戻します。

つまり、暗号化で重要なのは、暗号化されたデータよりは暗号鍵を厳重に管理することであるといえます。

データ暗号化の実例は？

データ暗号化の実例として、電子署名、電子証明書、SSLについてお話しします。

暗号化することによって、なりすましやデータ改竄、およびメールなどのやり取りを否定する主張（否認）を防ぐことができます。

電子署名

電子署名は、公開鍵暗号方式という方法で作成されるものです。

データを作る人は、秘密鍵（プライベート鍵）と公開鍵（パブリック鍵）を持っています。

データを作った人は、秘密鍵で暗号化したデータと公開鍵を別メールなどで送り、データを受け取った人が公開鍵を使って復号できれば、そのデータが秘密鍵を使ったデータであることが検証されたことになります。

電子証明書

電子証明書は、電子署名の仕組みを使って、やり取りしているデータなどが正しいものかどうかを証明するものです。

やり取りしているデータなどのアプリケーションに表示される鍵マークをクリックして、証明書が確認できれば、やり取りしているデータが正しいことが検証されます。

SSL：Secure Socket Layer

SSLは、電子署名と、電子証明書を統合して、クレジット番号など秘密にすべき個人情報を盗まれないようにしたものです。その結果として本人性が証明され、なりすましを防ぐことができます。

ブラウザでSSLサイトに接続するためにhttps//:で始まるアドレスを入力すると、アドレスバーの色が変ったり、画面のどこかに鍵マークが現れたりしますので、使っているシステムがどのように変るかを確認してみて下さい。

ここまで、暗号化についてお話ししました。

これから、いよいよ、本題のAWS RDSリソースの暗号化に進んでいきます。

AWS RDSリソースの暗号化とは？

現代のような情報社会が進んでくると、データのプライバシーを保つことが重要なテーマとなってきています。いわゆるデータハッカーとの戦いが日常茶飯事となっているのです。

ハッカーにデータを盗まれないように保護する技術の一つが暗号化であり、AWS RDSでもKMS（Key Management Service）を使ってデータを保護しています。

これから、AWS RDSリソースの暗号化について理解していただくために、AWS RDS、AWS KMSの順にお話ししていきます。

AWS RDSとは？

ここでは、マネージド型リレーショナルデータベースに関わるAWS RDS（Amazon Relational Database Service）について、そのサービス内容と特徴をお話しします。

AWS RDSリソースの暗号化とは何かを理解していただくために、これらの特徴が大変役立つ情報になります。

Amazon RDSとは？

AWS RDSは、AWSクラウド上でAWS VPCを使って繋がっているシステムのセットアップや、日々発生するシステムタスクを自動化することにより、ユーザーの業務負担を軽くするサービスです。

AWS RDSの特徴は、次の項でお話しします。

AWS RDSの特徴は？

ここでは、汎用性の高さや業務量低減による経費削減など、AWS RDSの特徴を詳しくお話しします。

・高い汎用性
Amazon Aurora、MySQL、MariaDB、Oracle、Microsoft SQL Server、PostgreSQLなどのエンジンから選択でき、導入前に使っていたコード、アプリケーションなどをそのまま使うことができます。

・業務負担の軽減
パッチ適用、バックアップ、リカバリ、障害検知、修復など、データベースのタスクを自動処理することで、日常業務を軽減します。

・本番環境の可用性・信頼性向上
完全に同期されたレプリケーションを持っているため、万一、本番環境で危険性の高いオペレーションや読み取り頻度が高いオペレーションが発生しても、本番環境にあるデータベースサイズを柔軟に変えることで可用性を保つことができます。

・コストの低減
使ったリソースの費用だけがかかり、初期費用は必要ありません。

AWS KMSと、AWS RDSリソースの暗号化とは？

AWS RDSリソースの暗号化とは、データを保管したりAWS VPC間でデータをやり取りするとき、AWS KMSで管理された暗号鍵を使ってデータベースを暗号化することです。

なお、保管されるデータには、自動バックアップデータ、同調されたレプリケーションおよびスナップショットなども含まれます。

AWS KMSの導入には、先ず決められた管理方法で暗号鍵を作ります。データベースを運用するために、データのやり取りや定期的にスナップショットを保管するときに、暗号鍵を使ってデータベースを暗号化していきます。

また、暗号化の精度を高めるためには、データベースの機密性を保つばかりではなく、暗号鍵そのものの管理も強化する必要があります。

AWS KMSを導入するステップについて、例を挙げてポイントをお話しします。

暗号鍵の管理方法を決める

暗号鍵へのアクセスは、AWSへのアクセスを安全に管理するAWS IAM（Identity and Access Management）と対応し、AWSアカウントでの不正行為を防止する仕組み（ガバナンス）、ポリシーを遵守する考え方（コンプライアンス）、運用証跡に関する監査およびリスク監査を行うAWS CloudTrailによりログを記録し、継続的に監視されます。

データベースへのアクセス権限は、ユーザーの業務範囲に従って、例えば読み取り専用権限や書き込み権限など自由に設定できます。

暗号鍵を作る

AWSのKMS画面で、いろいろなアクセス権限を持つ暗号鍵を作ることができます。

ここでは、暗号化データベースを作るために、読み取り権限と書き込み権限両方が付けられているカスタマー管理型キーを作ることを前提とします。

カスタマー管理キーとして、暗号鍵と復号鍵となるための情報は、AWS KMSから提供されます。

暗号化データベースクラスターを作る

暗号化データベースクラスターは、外部から情報を盗まれないように暗号化するために作られます。

たとえば、AWS VPCで繋がれている複数のアベイラビリティ・ゾーン（AZ）に、お互いに同期された仮想のスペースであるデータベースクラスターを作ります。

暗号化データベースのスナップショットを作る

暗号化されたデータベースのスナップショットは、該当するデータベースクラスター上で自由に作ることができ、暗号化の情報とともに、同じカスタマー管理キーでアクセスできます。

時間情報を含んだデータのスナップショットは、カスタマー管理キーがなければ作ることも復元することもできません。

暗号鍵をローテーションする

暗号鍵への不正アクセスを防ぐために、アクセス期間をローテーションすることができます。

ローテーションの期間は、データベースの運用状況によって自動的または自由に設定できます。

このように、暗号鍵を使うことによって、データベースのセキュリティは保たれますが、最終的には、AWS Health Dashboardなどによる監視を通じて、データへのアクセスログや暗号鍵の正常な運用について、監査権限を用いて確認することにより検証することになります。

AWS RDSリソースのセキュリティを強化している「鍵」は暗号化です！

ここまで、情報のセキュリティ強化のために行われている「暗号化」についてお話ししてきました。

「暗号化」は、第三者がわからないような形で情報を作ったり、その情報を使ったりするときに、決められたルールで管理された「鍵」を使うことで、情報を書き換えたり無断で使われることを防ぐ方法です。

AWS VPCで繋がっているAWSクラウドユーザーにとって、AWS RDSリソースの暗号化こそ、情報セキュリティ強化の「鍵」となります。