AWS運用に欠かせないネットワーク構築の手順、情報セキュリティ対策を解説

社内システム担当者の負担軽減やBCP、サイバー攻撃対策などさまざまな理由でクラウドコンピューティングサービスの導入を検討している企業の間で、選択肢として人気が高いのがAWSです。ただ、AWSの運用で課題となるのがネットワーク構築ではないでしょうか。具体的な構築手順はもちろん、構築時の注意点、特にセキュリティ対策について適切に把握していなければ、高いリスクを抱えてしまいかねません。そこで今回は、AWS運用において欠かせないネットワーク構築について、概要から手順、情報セキュリティ対策をお伝えします。

AWSとAWSネットワークの基本概要

AWS運用におけるネットワークを知る前に、まずは簡単にAWSの概要について解説します。

AWSとは？

AWSとは、Amazon Web Serviceの略称で、Amazonが提供するクラウドプラットフォームです。インターネット経由でコンピューティングやデータベース、ストレージなどのITリソースをオンデマンドで利用できます。提供するサービスはIaaSとPaaSとSaaSで、2023年第3四半期における世界での市場シェアは約33%です。

参照：AI Helps to Stabilize Quarterly Cloud Market Growth Rate; Microsoft Market Share Nudges Up Again｜Synergy Research Group

AWSで構築するネットワークについて

例えば、オンプレミスでネットワーク構築を行う場合、サーバーや配線ケーブル、ネットワーク機器を調達し、自身で設定までを行う必要があります。しかし、AWSの場合、これらはすべてAWSが行うため、オンプレミスに比べると迅速なネットワーク構築が可能です。

ただし、ネットワークの設定やセキュリティ対策は自身で行う必要があるため、ネットワークやセキュリティについての知識を持っておかなければなりません。

AWSについてより詳しく知りたい場合は、「AzureとAWSの違いを比較。それぞれのメリットとデメリット、用途別の選択ポイントを解説」をご覧ください。

オンプレミスとの違い

オンプレミスとAWSのネットワークでの違いは、オンプレミスでネットワークに接続しているIT機器は、どれもプライベートIPアドレスしか持っていない点です。そのため、インターネット接続する際は、ルーターを介して外部のパブリックネットワークと接続します。

これに対してAWSのネットワークでは、個々のインスタンスにパブリックIPアドレスを持たせることが可能です。ただし、インターネットに接続する場合は、後述するインターネットゲートウェイやルートテーブルでの設定が必要になります。

AWSネットワークを構築するための要素

AWSのネットワーク構築を適切に行ううえで、知っておかなければならない要素について解説します。

リージョン

東京、大阪などAWSの各サービスが提供されている地域を指すもので、AWSを使用する際、最初に設定します。地域によって、選択したリージョンの応答時間の速さは異なる可能性があります。

アベイラビリティゾーン

世界各地に設置されているデータセンターをまとめたもので、基本的に1つのリージョンにつき2つ以上のアベイラビリティゾーンがあります。仮に1つのアベイラビリティゾーンがトラブルや災害で使えなくなった場合でも、別のアベイラビリティゾーンを使うことでサービスを滞らせることなく稼働させることが可能です。

VPC（Virtual Private Cloud）

VPCとは、仮想プライベートクラウドを意味するもので、AWSにおいては、AWS上で専用のスペースを作成できる論理的な区分を指します。リソースの配置、接続性、セキュリティなど仮想ネットワーク環境をフルで制御するサービスです。

サブネット

サブネットはVPCのIPアドレスの範囲を区切ったネットワークを指します。1つのサブネットのIPアドレスは1つのアベイラビリティゾーンの中に作成しますが、複数のゾーンにまたがって作成することはできません。個別のアベイラビリティゾーンでAWSのリソースを起動することで、1つのアベイラビリティゾーンで何かしらのトラブルが発生した場合でもアプリケーションの保護が可能です。

ルートテーブル

ルートテーブルとは、VPC利用時にルートと呼ばれるネットワーク経路を選択する際のルールが記載されたテーブルを指すものです。ルートテーブルを適切に選択することで、システムからのネットワーク経路が制御され、安全性を確保できます。

セキュリティグループ（ファイアウォール）

セキュリティグループとは、ファイアウォールとも呼ばれ、AWS上でネットワーク経路を制御するものです。ただし、必要なネットワークを許可していくホワイトリスト方式で、ネットワークを拒否する指定はできません。

インターネットゲートウェイ

ゲートウェイとは、異なるネットワーク同士を中継する仕組みの総称で、インターネットゲートウェイとは、VPC内のサブネットから外部環境と双方向でインターネットに接続するためのゲートウェイです。VPC内にあるシステムがグローバルIPを利用できます。

Virtual Private Gateway

Virtual Private Gatewayとは、自社内のオンプレミス環境とVPN（Virtual Private Network）で接続するためのゲートウェイです。

VPN接続について詳しくは「クラウドのセキュリティ対策にVPN接続？メリットや接続方法を解説」をご覧ください。

NAT Gateway

NAT Gatewayとは、サブネット内のリソースを外部環境とアウトバウンド（AWSのEC2インスタンスから外部へ出る外向きの通信）に限定してインターネット接続するためのゲートウェイです。

AWSダイレクトコネクト

AWSダイレクトコレクトとは、ユーザーとAWSの間で専用線を用いてプライベート接続を確立する、AWSが提供しているサービスです。オンプレミスまたはデータセンターとAWS間を、インターネットを使わずにプライベート接続するため、セキュリティの確保や安定した通信速度を実現します。

AWSダイレクトコレクトについて詳しくは「AWSダイレクトコネクトとは？接続方法や料金について解説」をご覧ください。

AWSネットワークを構築する手順

AWSネットワークを構築する主な手順は次のとおりです。

リージョン内にVPCを構成

東京もしくは大阪どちらかのリージョンを選択し、VPCを構成します。前述したように、地域によって、選択したリージョンの応答時間の速さは異なる可能性があります。

VPC内にサブネットを構築

構成したVPCのダッシュボード内にサブネットを構築します。入力するのは、名前タブ、アベイラビリティゾーン、IPv4 CIDRブロックなどです。

VPCとインターネットゲートウェイを紐付け、ルートテーブルを作成

VPCとインターネットゲートウェイの紐付けを行い、ルートテーブルを作成します。そして、ルートテーブルをパブリックサブネットと紐付けることでAWSネットワークの構築は完了です。

AWSネットワーク構築における注意点とは

AWSネットワークを構築する際にはいくつかの注意点があります。具体的には次のとおりです。

自社の目的に合ったサービスか

AWSには、コンピューティング、コンテナ、ストレージ、データベースなど、さまざまなサービスが200以上存在します。そのため、自社の目的を明確にしたうえでサービスの選択をしないと、管理が煩雑になるだけではなく、無駄なコストがかかってしまうケースも少なくありません。AWSを契約する際は必ず目的を明確にし、要不要の区別を適切に行うことが重要です。

運用や監視をどの程度外部に委託するか

自社のシステム担当者にかかる負担軽減が目的の場合、運用や監視はできるだけ外部に委託するのがおすすめです。ただし、その分、コストもかかってしまうため、それ以外の目的であれば、予算を勘案したうえで、どこまで外部に委託するかを検討するようにしましょう。

災害時の対応は適切に行えるか

地震や台風といった自然災害が起きた際の対応についても、事前に検討しておく必要があります。AWSはクラウドなので、データが保管されるデータセンターの所在地について気になるところですが、公式サイトによればグローバルな地域にリスク分散を図り、可用性を確保しているようです。また、有事の際に連絡できる災害対策チームを設けており、サポートを受けられるともしています。AWSのサービスを選択し契約する際に最新の情報を確認し、詳細を把握しておきましょう。

そのほか、パブリッククラウドであるAWSとオンプレミスを組み合わせたハイブリッドクラウドの仕組みを構築しておくことも、災害対策としては有効と言えます。

ハイブリッドクラウドについて詳しくは「ハイブリッドクラウドとは？メリット・デメリットと使い分け例を紹介」をご覧ください。

セキュリティ対策は適切に行えるか

サイバー攻撃対策としても高い効果が期待できるAWSですが、ネットワーク構築時の設定を適切に行わないとリスクを抱えてしまう可能性もあります。ポイントは、セキュリティグループやパスワードの管理、そしてバックアップ体制の用意です。同時にAWSを活用する社員に対してのセキュリティ教育も欠かさず行う必要があります。

AWSネットワーク運用に必要な情報セキュリティ対策

AWSネットワークの運用に必要となる情報セキュリティ対策は、自社の目的や利用するサービス、構成によって異なります。AWSが提供するセキュリティ対策サービスとしては、次のようなものがあるため、まずは目的や用途を明確にしたうえで、適切なセキュリティ対策を行いましょう。

AWS WAF

AWS WAF（Web Application Firewall）とは、Webアプリケーションの脆弱性を突いた攻撃から守るためのサービスです。比較的簡単に導入できるため、目的に応じて導入の検討を行いましょう。

AWS Shield

AWS Shieldとは、サーバーダウンを目的としたDDoS攻撃からアプリケーションを保護するサービスです。AWSの利用者であれば無料で使えるサービスですが、より高度な攻撃対策を行う場合は有料サービスの契約が必要です。

AWS Firewall Manager

AWS Firewall Managerとは、複数のAWSアカウントを一括で確認できる「AWS Organizations」のセキュリティや設定を一元管理できるサービスです。複数アカウントのセキュリティ対策を行えるため、大企業向けのサービスと言えます。

AWSネットワークの構築・運用はサービス事業者やデータセンターの選択も重要

業務のデジタル化が当たり前となりつつある現在、増大するデータをすべてオンプレミスで運用管理するのは、システム担当者の負担が大きすぎます。また、自然災害やサイバー攻撃に遭った際のリスクも考え、クラウドコンピューティングサービスの導入を検討するのは自然な流れと言えるでしょう。

ただ、選択肢として人気の高いAWSですが、活用の目的や利用するサービスを明確にしないと、かえって手間が増えたり余計なコストがかかったりしてしまいます。また、AWSのネットワーク構築時には、十分なセキュリティ対策も欠かせません。特にサイバー攻撃対策が目的ではなくとも、万が一に備えた対策はしっかりと行いましょう。

そして、AWSを接続先としてクラウド利用を検討する際には、クラウドサーバーサービスやデータセンターのハウジングサービスをハイブリッドで利用する、ハイブリッドクラウドもおすすめです。AWSサービスを使用しつつ、バックアップや災害復旧用の環境としてクラウドサーバーサービスを利用したり、個人情報や機密情報などの取り扱いはデータセンターのハウジングサービスで行ったりといった使い分けが可能で、より強固なセキュリティ対策や災害対策につながります。

STNetでは、STクラウド サーバーサービスやデータセンター「Powerico（パワリコ）」とAWSをハイブリッドで利用することが可能です。よりセキュリティを重視するのであれば、「ST-WANダイレクトコネクト（クラウド接続）」のご利用もおすすめです。AWS向けにインターネットを経由せず専用ネットワークを介して、高信頼・高品質・低遅延で安定した通信を実現します。社内システム担当者の負担軽減、BCP、セキュリティ対策などでAWSの利用を検討される際はお気軽にご相談ください。