AWSベストプラクティス

約19分

上級

7/10

2025年9月1日

AWS ANS-C01 対策 AWS Certificate Manager を使ったSSL/TLS証明書管理とセキュリティ設定

AWS Certificate Manager (ACM)によるSSL/TLS証明書の自動管理と、Application Load BalancerやCloudFrontとの統合を解説。医療・金融業界でのHIPAA・PCI DSS準拠を含む実践的な証明書管理戦略を理解します。

この記事のポイント

1
ACMによるSSL/TLS証明書の自動管理とライフサイクル管理を理解する
2
ALB・CloudFrontとの統合によるHTTPS通信の実装方法を習得する
3
公開証明書とプライベート証明書の使い分けとセキュリティ要件への対応を把握する

AWS Certificate Manager の概要と適用場面

AWS Certificate Manager (ACM)は、SSL/TLS証明書の発行・管理・デプロイを自動化するマネージドサービスです。証明書の自動更新とAWSサービスとの統合により、運用オーバーヘッドを大幅に削減できます。

ACMが最適な選択となるのは、証明書の有効期限管理や複数サービスへの配布が課題となっている環境です。

🔍SSL/TLS証明書

SSL/TLS証明書は、ウェブサイトやアプリケーションの身元を証明し、通信を暗号化するデジタル証明書です。証明書には公開鍵が含まれており、クライアントとサーバー間で安全な暗号化通信を確立します。証明書の有効性は、信頼できる認証局（CA）によるデジタル署名で保証されます。

公開証明書とプライベート証明書の使い分け

ACMは2種類の証明書管理を提供し、それぞれ異なる用途に最適化されています。

ACM パブリック証明書

主な用途

インターネット向けサービス

証明書発行機関

Amazon Trust Services (ATS)

ドメイン検証

DNS検証またはメール検証

コスト

無料

利用範囲

インターネット公開サービス専用

AWSサービス統合

ALB、CloudFront、API Gateway（自動統合）

自動更新

統合サービスでは自動更新

CA階層管理

不要（Amazon管理）

ACM プライベート証明書

主な用途

内部ネットワーク・マイクロサービス間通信

証明書発行機関

ACM Private Certificate Authority (PCA)

ドメイン検証

CA階層による内部検証

コスト

CA運用費用が発生

利用範囲

内部・外部問わず柔軟な配置

AWSサービス統合

エクスポート可能・幅広い用途対応

自動更新

ACM PCAで自動更新・CloudWatch通知

CA階層管理

Root CA・Intermediate CA構築

ACM パブリック証明書

ACM プライベート証明書

主な用途

インターネット向けサービス

内部ネットワーク・マイクロサービス間通信

証明書発行機関

Amazon Trust Services (ATS)

ACM Private Certificate Authority (PCA)

ドメイン検証

DNS検証またはメール検証

CA階層による内部検証

コスト

無料

CA運用費用が発生

利用範囲

インターネット公開サービス専用

内部・外部問わず柔軟な配置

AWSサービス統合

ALB、CloudFront、API Gateway（自動統合）

エクスポート可能・幅広い用途対応

自動更新

統合サービスでは自動更新

ACM PCAで自動更新・CloudWatch通知

CA階層管理

不要（Amazon管理）

Root CA・Intermediate CA構築

判断基準

公開 vs プライベート証明書: インターネット向けサービスにはACMパブリック証明書、内部システムやマイクロサービスにはACM PCAを使用することで、コストと運用効率を最適化できます。

AWSサービスとの統合パターン

ACMの真価は、各種AWSサービスとのシームレスな統合にあります。証明書の自動デプロイと更新により、手動運用を排除できます。

Application Load Balancerとの統合

ALBとACMの統合は、HTTPS通信を確実に実現する最も効果的な方法です。パスベースルーティングと組み合わせることで、複雑なマイクロサービス環境での証明書管理を簡素化できます。

ドメイン検証の実行

Route 53でのDNS検証またはメール検証により、証明書の発行を行う

•
DNS検証は自動化に適し、メール検証は迅速な確認に適している

HTTPSリスナーの設定

ALBにポート443のリスナーを追加し、ACM証明書を関連付ける

•
複数証明書の設定により、SNIベースの複数ドメイン対応が可能

HTTP→HTTPSリダイレクト

ポート80のリスナーで、すべてのHTTPリクエストをHTTPSにリダイレクト

•
301リダイレクトによるSEO評価の維持

セキュリティポリシーの設定

ELBSecurityPolicy-TLS-1-2-2019-07以上の使用を推奨

•
古いTLSバージョンを無効化し、強固な暗号スイートのみを許可

CloudFrontとの統合

CloudFrontとACMの統合により、グローバルなコンテンツ配信で一貫したSSL/TLS暗号化を実現できます。特にPCI DSSなどの規制要件では必須の組み合わせです。

us-east-1での証明書発行

CloudFront用のACM証明書は必ずバージニア北部リージョンで作成する

•
グローバルサービスであるCloudFrontの要件

ビューワープロトコルポリシー

「Redirect HTTP to HTTPS」または「HTTPS Only」を設定

•
すべてのトラフィックの暗号化を保証

最小TLSバージョンの設定

TLSv1.2以上を必須とする設定でコンプライアンス要件を満たす

•
PCI DSS等の規制要件に対応

カスタムドメインの設定

CNAMEまたはエイリアスレコードによるカスタムドメインの設定

•
ブランド統一とユーザビリティの向上

コンプライアンス要件への対応

医療・金融業界では、HIPAAやPCI DSSなどの厳格な規制により、証明書管理とTLS設定に特別な要件が求められます。ACMはこれらの要件を満たすための包括的な機能を提供します。

自動証明書更新

90日の有効期限と自動更新により、期限切れのリスクを排除します。

暗号スイート制御

AWSが推奨する強固な暗号スイートのみを使用できます。

監査証跡

すべての証明書操作がCloudTrailに記録され、監査要件を満たします。

実践問題で確認

ここまで学んだACMによる証明書管理を、実践的な問題で確認しましょう。各問題は実際の企業環境で発生するセキュリティ要件に基づいており、適切な実装選択能力を養います。

AWS認定高度なネットワーキング - 専門知識

練習問題

ある医療機関が、患者の電子カルテシステムを AWS に移行しています。このシステムは数百の医療施設で利用され、患者のプライバシーと高可用性が重要な要件です。アプリケーションは、ヘルスチェックエンドポイントとして /health を公開するAPI層と、静的コンテンツを配信するウェブ層を持っています。医療機関はEC2インスタンスで実行されるバックエンドサーバー向けに、以下の要件を満たすロードバランシングソリューションを求めています： 1. HTTPS接続のためのTLS証明書管理を簡素化すること 2. APIリクエストを/api/*パスパターンに基づいて特定のターゲットグループにルーティングすること 3. 定期的なヘルスチェックを実行して、障害のあるインスタンスを検出すること 4. WebSocketsプロトコルをサポートして、医師と患者間のリアルタイムチャット機能を可能にすることこれらの要件を満たすための最適なロードバランシングソリューションはどれですか？

AWS認定高度なネットワーキング - 専門知識

練習問題

グローバルな金融機関が社内アプリケーションとマイクロサービスのための効率的な証明書管理戦略を構築する必要があります。現在、自己署名証明書を使用していますが、証明書の作成、配布、更新の管理が複雑になり、期限切れの証明書によるサービス中断が頻繁に発生しています。また、新しいマイクロサービスが頻繁にデプロイされるため、証明書の発行プロセスを自動化し、証明書のライフサイクル全体を管理するための集中型ソリューションが必要です。この要件を満たすために、どの2つの方法が最も効果的ですか？

AWS認定高度なネットワーキング - 専門知識

練習問題

ある企業は、グローバルな顧客向けにコンテンツ配信サービスを提供しています。最近、PCI DSS（Payment Card Industry Data Security Standard）コンプライアンスの監査を受け、顧客の支払い情報を処理するウェブサイトのトラフィックセキュリティに関する懸念が指摘されました。現在、Amazon CloudFrontを使用してコンテンツを配信していますが、暗号化要件を満たすために強化が必要です。PCI DSSコンプライアンスに準拠するために、CloudFrontディストリビューションでのセキュリティを最も効果的に強化する方法はどれですか？

まとめ

AWS Certificate Managerは、SSL/TLS証明書の管理を大幅に簡素化し、自動更新とAWSサービス統合により運用効率を向上させます。パブリック証明書とプライベート証明書の適切な使い分けにより、あらゆる用途に対応できます。

90日ごとの自動更新により証明書の有効期限切れを防止し、ドメイン検証の自動化によりプロビジョニングプロセスを効率化。運用オーバーヘッドを大幅に削減し、サービス中断のリスクを排除します。

ALB・CloudFront・API Gatewayとの直接統合により、証明書の自動デプロイとHTTPS強制を実現。パスベースルーティングと組み合わせることで、複雑なマイクロサービス環境でも統一的な証明書管理を可能にします。

TLSv1.2以上の強制と強固な暗号スイートにより、HIPAA・PCI DSS等の規制要件に対応。ACM PCAによる内部PKI構築で、プライベート証明書の包括的な管理も実現します。

これらの実装パターンにより、手動証明書管理の課題を解決し、セキュアで効率的なHTTPS通信を実現できます。用途に応じた証明書タイプの選択と適切なAWSサービス統合が成功の鍵となります。

理解度チェック

パブリック証明書とプライベート証明書の使い分けと、それぞれの適用場面を説明できるか？

ALBやCloudFrontとACMの統合方法と、自動証明書デプロイのメリットを理解しているか？

HIPAA・PCI DSS等の規制要件に対応するTLS設定と証明書管理のポイントを把握しているか？

tsumiki-media

AWS ANS-C01 対策 AWS Certificate Manager を使ったSSL/TLS証明書管理とセキュリティ設定

この記事のポイント

目次

AWS Certificate Manager の概要と適用場面

公開証明書とプライベート証明書の使い分け

ACM パブリック証明書

ACM プライベート証明書

AWSサービスとの統合パターン

Application Load Balancerとの統合

CloudFrontとの統合

コンプライアンス要件への対応

最新TLSプロトコル対応

自動証明書更新

暗号スイート制御

監査証跡

実践問題で確認

AWS認定高度なネットワーキング - 専門知識

AWS認定高度なネットワーキング - 専門知識

AWS認定高度なネットワーキング - 専門知識

まとめ

自動証明書管理

AWSサービス統合

コンプライアンス対応

理解度チェック

他の問題も解いてみませんか？

tsumiki-media

Command Palette

目次

AWS Certificate Manager の概要と適用場面

公開証明書とプライベート証明書の使い分け

ACM パブリック証明書

ACM プライベート証明書

AWSサービスとの統合パターン

Application Load Balancerとの統合

CloudFrontとの統合

コンプライアンス要件への対応

最新TLSプロトコル対応

自動証明書更新

暗号スイート制御

監査証跡

実践問題で確認

AWS認定高度なネットワーキング - 専門知識

AWS認定高度なネットワーキング - 専門知識

AWS認定高度なネットワーキング - 専門知識

まとめ

自動証明書管理

AWSサービス統合

コンプライアンス対応

理解度チェック

他の問題も解いてみませんか？