みなさんこんにちは。Wakka Inc.日本拠点でインフラエンジニアを担当している金です。

この記事にたどり着いた方は、AWSをこれから構築する人や本格的な運用を開始する直前という方が多いと思います。あまりAWSに慣れていない時には、どのようなことに気をつけて構築・運用すればいいのか不安に感じる方もいるのではないでしょうか。

構築や運用に関する基本的なチェック項目を把握していないと、トラブル解決に時間がかかったり、セキュリティの問題が発生したりします。そのため、せっかく便利なAWSを利用しても、正しく運用できずに大きなリスクを抱えてしまう恐れがあるのです。

そこで、今回は基礎編の解説としてAWS構築の際に見ておくべきチェックリストとセキュリティに関するチェックリストを作成したので、ぜひ構築や運用するときに役立ててください。

●開発リソースの不足にお悩みなら●

＞＞＞Wakka.Inc独自の海外子会社設立サービスがおすすめ！
無料でサービス資料をダウンロードできますのでぜひご覧ください。

【基本編】必ず一読すべきAWS構築7のチェックリスト

まずは、はじめて構築する人が見ておくべき基本編のチェックリストです。すべての項目が基本的なものとなっているため、目を通しておくことをおすすめします。

AWSは動的なIPアドレスであることを把握する

1つ目は、動的なIPアドレスです。

他サービスのVPSやレンタルサーバーでは、基本的に固定グローバルIPが使われています。つまり、IPアドレスが変わることがありません。サーバーを再起動しても同じIPで立ち上がるのです。

一方、AWSはグローバルIPが固定されておらず、インスタンスを再起動するたびに、IPアドレスが変わってしまいます。そのため、グローバルIPが変動してもドメインとIPの紐付けが維持され、外部からアクセスできるように整備しなければなりません。この仕組を理解せずに再起動時の正常な機能が保証されていなければサーバーにアクセスできないので、ユーザーはサービスを利用できない状態になります。動的なIPに対応するために、Elastic IPやダイナミックDNSを使用するなどの工夫が必要になるでしょう。

開発メンバーごとにIAMユーザーを使用する

2つ目は、それぞれ開発メンバーでIAMユーザーを使用することです。IAMとは、Identity and Access Managementの略称で、ユーザーごとに認証許可の権限を設定してAWSサービスのアクセスを制御できる機能のことを指します。

個人でAWSを運用している場合、1つのIAMユーザーを複数人で使用してサービスを管理しているケースがあります。しかし、このような運用方法ではセキュリティトラブル等が発生した場合、責任の所在を明確にすることができません。そのため、特に複数人で開発を行う際は正しい権限を設定してそれぞれのIAMユーザーを使用する必要があります。

適切なストレージを選択する

AWSには、下記の3つのストレージが用意されています。

• S3
• EFS
• EBS

それぞれのストレージで仕組みや特徴などが異なることをご存知でしょうか。そのため、自社のサービスに合った適切なものを選択しなければなりません。

ボリュームの変更など、柔軟性を持たせたいときはEBSを選択します。もちろん予算との兼ね合いもあるので、特徴を比較した上で選ぶと良いです。

ルートデバイスのストレージタイプを把握する

4つ目は、ルートデバイスのストレージタイプに対する理解です。

ストレージタイプには、Amazon EBS-BlackedとInstance Store-Backedの2種類があります。前者はインスタンス終了後も保持されるのに対して、後者は存続中のみです。Amazon EBS-Blackedはスナップショットを利用することでデータをバックアップできるので、永続的なデータ保存を実現できます。

バックアップを定期的に取る

5つ目は、バックアップを定期的に取ることです。

AWSに限った話ではありませんが、バックアップを定期的に取ることは非常に重要です。もし、万が一開発したWebアプリケーションがすべて消去されてしまった場合、大きな損害となります。そのため、最悪の状態を想定して危機管理を行う必要があるでしょう。

AZに分散させる

6つ目は、AZで分散させることです。

重要データはAZに分散して障害による停止や紛失に対応しなければなりません。また、AZに分散させるときは3台以上を用意します。

もし、2台だけで運用する場合、片方のAZで障害が発生したときに残りのAZに負荷が集中することになるでしょう。このようなAZ構成では、障害に弱く正常に動作しているAZもダウンする危険性があります。3台以上準備すれば1箇所で障害が発生しても残りの2つのAZに頼ることができ、負荷を分散させられるので適切な構成といえます。

リストアやスナップショットの復元手順を確認する

7つ目は、リストアやスナップショットの復元手順を確認することです。

障害等が発生してインスタンスが停止してしまった場合、バックアップから復元し、インスタンスを開始しなければなりません。手順を確認せずに本番運用を開始してしまうと、適切な手順がわからずに復旧が遅れてしまう心配があります。そのため、バックアップから復元する方法とインスタンスの停止・開始方法をしっかりと覚えておくことが重要です。

【セキュリティ版】安全に運用するために気をつけたい3つのセキュリティチェックリスト

AWSの構築・運用を行う際、最も注意しておきたいのがセキュリティです。Webアプリケーションはインターネット上で公開されているため、悪意ある第三者から標的になりやすくなっています。もし、攻撃を受けてしまった場合、サービスの停止を余儀なくさせられたり、大切なデータを失う原因になったりする可能性もあるでしょう。そのため、これから運用を開始する方は以下をチェックしておくことをおすすめします。

rootアカウントのアクセスキーを削除する

rootアクセスキーの削除です。

root権限は、サーバーの操作に対してすべて権限が与えられているユーザー、いわば最高管理責任者になります。例えば、プログラムのインストール、ファイルの書き換え、ユーザーへの権限の付与などが自由に行えるのです。

すべてにアクセスする権限が付与されているため、サーバーの操作が非常に便利になります。しかし、セキュリティ上好ましい状態ではないため、アクセスキーを削除しIAMユーザーで操作するのがおすすめです。

CloudTrailの有効化

すべてのリージョンでCloudTrailが有効になっている必要があります。もし、有効になっていない場合、セキュリティ分析やコンプライアンス監査、リソース変更の追跡に悪影響を与える恐れがあります。CloudTrailは無料利用枠が用意されていますが、異常なアクティビティの特定など、機能は増やしたい方は有料利用枠での使用がおすすめです。

CloudTrailのログやS3バケットの公開設定を確認する

CloudTrailのログやS3バケットの公開設定を確認してください。これらが公開に設定されていると、不特定多数がCloudTrailのログやS3バケットを閲覧できる状態になっています。セキュリティ上、安全な状態とはいえないため、非公開にしなければなりません。

AWSの構築・運用をはじめる前に必ずチェックリストを確認しよう

今回は、AWSの構築や運用をはじめる方が押さえておきたいチェックリストをご紹介しました。Webアプリケーションを安全に運用するために必要なことが多いので、必ずチェックをし、正しく設定されていないときは見直すようにしましょう。そうすることで、セキュリティや間違ったサーバー運用のリスクを抑えることができます。

本ブログでは、スタートアップで開発に関わる方が便利に使えるノウハウ記事を掲載しています。また、このブログを運営しているWakka Inc.では、スタートアップや成長企業の開発リソースを強化するオフショアラボ型開発や海外子会社設立サービスを提供しています。

オフショアラボ型開発について詳しく知りたい方は『【ラボ型開発】 その特徴とメリット・デメリットは？｜分かりやすく解説』もチェックしてみてください。

オフショアラボ型開発や海外開発子会社を設立して、成長に応じて開発リソースを強化したい、安心して運用保守を任せたいという方は、個別セミナーも開催していますのでまずはお気軽にお問い合わせください。

【あわせて読みたい】おすすめ関連資料

●すぐに使えるRFPテンプレート｜システム開発用
＞システム開発のRFPについて、情報を埋めるだけで簡単に作成ができるテンプレートです。

●すぐに使えるRFPテンプレート｜サイトリニューアル用
＞サイトリニューアルの際に、テンプレートの情報を埋めるだけで簡単にRFPが作成できます。

●DX進め方ガイドブック
＞DXプロジェクトを検討している担当者の方に向けて、失敗しない社内体制の構築から開発リソース確保までを網羅して解説しています。