AWS Control Towerを基本から理解する。具体的な活用法を交えて解説

AWS利用を全社的に推進する際は、ワークロードごとにAWSアカウントを分けるマルチアカウントが推奨されています。マルチアカウント環境では、アカウントやポリシーの設計が重要ですが、具体的にはどのようにポリシーを設定し、運用するかをイチから検討・実装するのはかなり手間がかかります。この負担を大きく軽減する「AWS Control Tower」について利用時に押さえておきたい用語や、実現できること、具体的な活用法など、基本から解説します。

AWS Control Towerとは

「AWS Control Tower」は、セキュアなマルチアカウント環境を自動でセットアップするサービスです。セキュアなマルチアカウント環境を実現するには、所属するアカウントへの統制、適切なポリシーの設定などがカギとなります。マルチアカウントの一元管理自体は「AWS Organizations」というサービスで実現できますが、アカウントの設計やどのようなポリシーを設定するかは自分たちで検討・実装しなければなりません。AWS Control TowerはAWS Organizationsをベースとした環境を、AWSのベストプラクティスに則った形で自動セットアップ、ポリシー設定も容易にできるようになります。マルチアカウント環境構築の手間を大きく軽減できます。

AWS Control Towerの基本用語

「ガードレール」

AWS環境でセキュリティ統制を実現する方法の1つであり、AWS利用者がセキュリティ上問題のある操作をしないよう検知・防止する仕組みです。従来のように「利用を申請して、承認が下りるまで使えない」とするのではなく、利用者の手を止めることなく、セキュアに利用できる状態を目指します。 具体的には、ガバナンスのルールやポリシーを設定し、対象となるアカウントに適用します。してはいけない操作を禁止する「予防的ガードレール」と、リスクがある構成などを検知・通知する「発見的ガードレール」の2種類があり、これらを組み合わせることで、セキュリティリスクのある操作をブロック、またリスクへの早期対処を実現できます。なお、AWS Control Towerでは「コントロール」と呼ばれる実装が、ガードレールに当たります。

「ランディングゾーン」

AWS Control Towerを理解する上で欠かせないのが「ランディングゾーン」という概念です。これは「よいマルチアカウント統制環境の総称・考え方」であり、安全にワークロード（アカウント）を追加・開始できる環境を構築するための設計、仕組みなどをまとめたものと考えるとよいでしょう。

AWS Control TowerではAWSのベストプラクティスに則ったランディングゾーンを実装します。例えば、AWSのベストプラクティスでは、すべてのアカウントの監査を実施する「監査アカウント」、すべてのアカウントのログを集約・管理する「ログアーカイブアカウント」を作成して、組織を管理することが推奨されており、AWS Control Towerではこれに必要なアカウントやログ転送設定などが自動でセットアップされます。 もちろん、企業によってランディングゾーンに求められる要件などは異なりますから、自社の要件とマッチしない点はカスタマイズする必要があります。また、「AWS Control Towerで環境を構築したから、あとはなにもしなくて大丈夫」というわけではなく、状況の変化などにあわせて機能追加・設定変更など継続的な運用は不可欠です。

「ダッシュボード」

AWS Control Towerでは、作成した環境を効率的に管理するためのダッシュボードが用意されています。作成したグループやアカウントの数、ガードレールの数、検出された違反の数などがまとめて表示され、管理対象となる環境全体の状況を一目で把握できるように。 また、「非準拠リソースを一覧で表示する」「アカウントごとの準拠状況を確認する」といったことも可能。アカウントの状況を確認するために、1つずつログインして操作する必要がなく、マルチアカウント環境の運用・統制を効率化できます。

AWS Control Towerユースケース

AWS Control Towerでできることは大きく「セットアップの自動化」と「セキュリティ・ログ統制の維持」の2つです。どちらもほかのAWSサービスなどを組み合わせて、利用者自身で実装することは可能ですが、AWS Control Towerはマネージドで運用できるため、負荷を最小限にランディングゾーンの仕組みを実装できることが大きなメリットです。 では、具体的にどのように活用するのか、ユースケースで解説します。

＜ユースケース 1＞セキュリティ統制の徹底

まずはガードレールを用いたセキュリティ統制です。AWS Control Towerの基本的な使い方になりますが、ガードレールを設定することで、「S3バケットがインターネットに公開されている（設定がPublicになっている）」「SSHポートが全開になっている」など、リスクのある設定を管理者が容易に発見できるようになります。AWS Control Towerではこういった基本的なガードレールがあらかじめ用意されており、どのアカウントグループに適用するかを設定するだけで、簡単に実装できます。

また「監査アカウント」では、所属するメンバーアカウントに対してアクセスする経路が提供されます。この経路を利用することで、リスクのある設定が検出された際に、セキュリティ担当者自身で簡単に対処できるように。さらに、リスクのある設定を自動修復する仕組みに必要な基盤も用意されています。リスクを見逃さない、検知後は迅速に対処するといったセキュリティ統制の基本となる仕組みを実現します。

＜ユースケース 2＞ログの一元管理

AWSでは様々なログを取得できますが、なかにはAWSの操作履歴を取得する「AWS CloudTrail」やAWSリソースなどの変更履歴を取得する「AWS Config」などセキュリティ・ガバナンスの観点から重要なログがあります。

AWS Control Towerでは、作成したログアーカイブアカウントに、これらのログを集約。アカウント横断でのアクティビティ分析が可能になり、「誰がいつどのアカウントにログインしたか」などを容易に把握できるようになります。また、Amazon CloudWatch Logsと連携することで、集約したログをリアルタイムに分析し、想定外のログイン・API実行などセキュリティリスクのある操作をアカウント横断で検知する、といった使い方もできます。

＜ユースケース 3＞インシデント発生時の証跡に

ログを通常利用するアカウントと分けて、ログアーカイブアカウントで管理することで、インシデント発生時の証跡としても有効になります。各アカウントにログを保管していると、管理を統一することは難しく、証跡が改ざんされるリスクもあります。アクセス可能な人が限られるログアーカイブアカウントで集中管理することで、統一したルールでの管理を実現するとともに、改ざんのリスクを大きく低減します。これらの仕組みを意識せずに実装できることは、AWS Control Towerのメリットです。

＜ユースケース 4＞利用状況の棚卸

AWSはすぐにリソースを追加し、ビジネス要件に柔軟に対応できることがメリットですが、マルチアカウントでAWS活用を拡大した結果、「組織内でどのように利用されているか把握しきれない」となっては問題です。利用する部署ごとなどにある程度任せたとしても、全体としてどう活用しているか、リスクのある設定はないかなどを管理するために、定期的な棚卸は必須。しかし、多数あるアカウントにそれぞれログインして、利用状況を確認するのではあまりに手間がかかり現実的ではありません。

AWS Control Towerでは、EC2インスタンスやS3バケットの数などの利用状況を簡単に確認でき、棚卸作業が容易に。それぞれの設定などもまとめて確認できるため、リスクのある設定を見逃しません。セキュリティ担当者の負担軽減につながります。

「クラスメソッドメンバーズ」組織管理プランで、一律3％割引に！

AWSでマルチアカウント環境を利用する際に、「AWS Control Tower」は大変便利なサービスです。まずはベストプラクティスに則った環境を構築したい、というのであれば、ぜひ活用することをお勧めします。繰り返しになりますが、導入後も自社にあわせたカスタマイズや調整は必要なものの、セットアップの自動化、ガードレール設定のサポートなどで効率的に運用できることは間違いありません。

AWS Control Towerを用いたマルチアカウント環境についても、クラスメソッドでは様々なサポートを提供しています。AWS総合支援「クラスメソッドメンバーズ」ではこういった環境に対応した「組織管理プラン」があり、AWS全サービスを一律3％のディスカウント価格にてご利用いただけます。

また、クラスメソッドメンバーズ加入者の方には、AWSガバナンスに関するナレッジ集「Classmethod Cloud Guidebook」を公開しており、AWS Control Towerのナレッジもご覧いただけます。さらに、マルチアカウントの設計や環境構築もサポートしてほしいといったご要望にはコンサルティング支援サービスにて対応可能です。マルチアカウントでのAWS利用を検討される際は、ぜひご相談ください。