概要: AWS Certificate Manager(ACM)は、SSL/TLS証明書のプロビジョニング、管理、デプロイを簡素化するサービスです。無料で公開証明書を提供し、ロードバランサーやCloudFrontと統合してWebサービスのセキュリティを向上させます。本記事では、ACMの基本から費用、使い方、構成例、注意点までを詳細に解説します。
AWS ACMの全体像と主要メリット:無料SSL/TLS証明書管理
AWS ACMとは?SSL/TLS証明書管理の課題を解決
AWS Certificate Manager (ACM) は、AWS環境でSSL/TLS証明書のプロビジョニング、管理、デプロイを自動化するマネージドサービスです。インターネット通信のセキュリティを確保するためには、SSL/TLSによる暗号化が不可欠であり、政府機関も「常時SSL化」と「最新の暗号技術(TLS 1.2以上)」の採用を強く推奨しています(IPA 独立行政法人 情報処理推進機構)。従来の証明書管理では、手動での更新や設定ミスによるサービス停止リスクが常に存在しました。ACMはこれらの課題を解決し、証明書のライフサイクル全体を自動化することで、運用の手間とコストを大幅に削減しながら、高度なセキュリティを維持することを可能にします。
ACMが提供する3つの主要メリット:コスト・セキュリティ・運用
ACMを導入することで、主に3つの大きなメリットを享受できます。まず、コスト面です。ACMが発行するパブリック証明書は、Application Load Balancer (ALB) やAmazon CloudFrontなどのAWS統合サービスで利用する場合、追加費用なしで利用可能です(AWS Certificate Manager の料金)。これは、通常のSSL/TLS証明書購入費用が不要になることを意味します。次に、セキュリティ面では、常に最新のセキュリティ標準に準拠した証明書を自動で提供し、TLS 1.2以上の利用を容易にします。古いプロトコルの無効化も推奨されています(総務省)。最後に、運用面では、証明書の有効期限管理や更新作業が完全に自動化されます。これにより、手動更新による失効リスクや、それに伴うサービス停止のリスクを根本的に回避できます。
なぜ今すぐACMを導入すべきなのか?
今日、ウェブサイトやアプリケーションのセキュリティはビジネスの信頼性に直結します。ACMの導入は、この信頼性を確保するための最も効率的かつ効果的な手段の一つです。主要なメリットとして、パブリック証明書の費用がAWS統合サービス内で無料である点、手動更新による証明書失効のリスクがなくなる点、そしてTLS 1.2以上の最新暗号技術を容易に導入できる点が挙げられます。これらのメリットは、セキュリティ要件の高まり、コスト削減、そして運用効率の向上という、現代のITインフラ管理における主要な課題に対する直接的な解決策となります。数クリックでHTTPS化を実現できる手軽さも、導入を後押しする大きな要因です。すぐにAWSコンソールから証明書をリクエストし、WebサイトやAPIの安全性を高めることを検討してください。
出典:AWS Certificate Manager の料金、AWS Certificate Manager とは、IPA 独立行政法人 情報処理推進機構、総務省
AWS ACM証明書の発行から利用までの簡単ステップ
ドメイン認証の基本と2つの選択肢:DNSまたはEメール
ACMでSSL/TLS証明書を発行する最初のステップは、ドメイン認証です。これは、あなたが証明書をリクエストしているドメインの正当な所有者であることをACMが確認するプロセスです。ドメイン認証には主に2つの方法があります。1つはDNS認証で、ドメインのDNSレコードに特定のCNAMEレコードを追加する方法です。この方法は、一度設定すればACMが自動的に認証を継続し、証明書の自動更新にも対応するため、最も推奨されます。もう1つはEメール認証で、ドメインのWHOIS情報に登録されている連絡先メールアドレスにACMから送られる承認メールを確認する方法です。Eメール認証は手軽ですが、更新のたびに承認が必要になる場合があります。長期的な運用を考えるなら、DNS認証の選択が賢明です。
証明書リクエストから発行までの具体的な手順
AWSマネジメントコンソールからACMサービスにアクセスし、「証明書をリクエスト」を選択してください。次に、「パブリック証明書をリクエスト」を選び、HTTPS化したいドメイン名(例: example.com や *.example.com)を入力します。サブドメインも保護したい場合はワイルドカード証明書が便利です。次に、認証方法を選択しますが、前述の通り、自動更新の恩恵を受けるためにも「DNSの検証」を選択することを強く推奨します。確認画面でリクエストを確定すると、ACMがCNAMEレコードの情報を提供します。DNS認証の場合、Route 53を使用していれば、コンソールから簡単にDNSレコードを作成することも可能です。このレコードが伝播し、ACMがドメイン所有権を確認できれば、証明書が発行済みステータスになります。
発行された証明書をAWSサービスに適用する方法
ACMで証明書が発行されたら、いよいよAWSサービスに適用します。注意点として、ACMはリージョナルサービスであり、例えばAmazon CloudFrontで利用する場合、証明書は「米国東部(バージニア北部)」リージョンでリクエストする必要があります(AWS Certificate Manager とは)。ALB (Application Load Balancer) に適用する場合、ALBのリスナー設定でHTTPSプロトコルを追加し、ACMから発行された証明書を選択するだけです。CloudFrontの場合は、ディストリビューション設定の「カスタムSSL証明書」オプションで、ACMの証明書を選択します。API Gatewayでカスタムドメイン名を設定する際も同様に、発行済みのACM証明書を紐付けることで、数クリックで安全なHTTPS通信を実現できます。
- HTTPS化したいドメイン名をリストアップしましたか?
- DNS認証(CNAMEレコード)で証明書をリクエストしましたか?
- CloudFrontで利用する場合、証明書を「米国東部(バージニア北部)」で発行しましたか?
- ALB、CloudFront、API Gatewayなどのサービスに証明書を適用しましたか?
- ウェブサイトやAPIがHTTPSで正しくアクセスできることを確認しましたか?
出典:AWS Certificate Manager とは
AWS ACMを活用した代表的な構成パターンと応用例
WebサイトのHTTPS化:ALBとEC2/Fargate連携
AWS ACMの最も一般的かつ強力な活用例は、ウェブサイトのHTTPS化です。特に、Application Load Balancer (ALB) とAmazon EC2インスタンスやAWS Fargateで稼働するアプリケーションを組み合わせる構成では、ACM証明書が非常に有効です。この構成では、ALBがクライアントからのHTTPSリクエストを受け付け、ACMで管理されているSSL/TLS証明書を使用して通信を終端します(SSLオフロード)。ALBからバックエンドのEC2インスタンスやFargateタスクへは、セキュアなVPC内であればHTTPで通信させることも可能です。これにより、アプリケーションサーバー側でSSL/TLS処理を行う必要がなくなり、サーバーの負荷を軽減し、運用もシンプルになります。ALBのリスナー設定でHTTPSプロトコルとACM証明書を選択するだけで、簡単にHTTPS化が完了します。
CDNとの統合:CloudFrontを用いたグローバル配信
グローバルにコンテンツを配信するウェブサイトやアプリケーションにとって、Amazon CloudFrontは欠かせないサービスです。CloudFrontとACMを組み合わせることで、世界中のユーザーに高速かつセキュアにコンテンツを届けられます。この際、ACM証明書はCloudFrontのエッジロケーションでSSL/TLS通信を終端するために利用されます。非常に重要な注意点として、CloudFrontでACM証明書を利用する場合、証明書は必ず「米国東部(バージニア北部)」リージョンでリクエストする必要があります(AWS Certificate Manager とは)。他のリージョンで発行された証明書はCloudFrontでは使用できません。CloudFrontディストリビューションの作成または更新時に、カスタムSSL証明書として該当のACM証明書を選択することで、エッジロケーションでのHTTPS配信が実現し、ユーザー体験の向上とセキュリティ強化を両立できます。
Amazon CloudFrontでACM証明書を利用する際は、必ず「米国東部(バージニア北部)リージョン」で証明書をリクエストしてください。他のリージョンで発行された証明書はCloudFrontでは利用できませんので、ご注意ください。
API Gatewayでの安全なAPIエンドポイント構築
マイクロサービスやサーバーレスアーキテクチャにおいて、API GatewayはAPIエンドポイントの公開と管理に広く利用されます。API Gatewayでカスタムドメイン名を設定し、そのドメインにACM証明書を適用することで、API通信をHTTPSで安全に保護できます。これにより、クライアントとAPI Gateway間のデータが暗号化され、傍受や改ざんのリスクを低減します。設定は非常にシンプルで、API Gatewayコンソールから「カスタムドメイン名」を作成し、ACMで発行済みの証明書を選択するだけです。これにより、開発者はセキュリティ設定の手間を省きながら、信頼性の高いAPIを迅速に公開できるようになります。サービス間通信においても、IAM認証と合わせて利用することで、より強固なセキュリティ基盤を構築可能です。
出典:AWS Certificate Manager とは
AWS ACM利用時の注意点:権限とPrivate CAとの違い
ACM証明書のリージョン制限とエクスポート条件
AWS ACMが発行する証明書は、原則として発行したAWSリージョン内でのみ利用可能です。つまり、あるリージョンで発行した証明書を別のリージョンにあるサービスに直接適用することはできません。ただし、Amazon CloudFrontのようにグローバルに展開するサービスでは、特定のリージョン(米国東部(バージニア北部))で発行された証明書をグローバルに利用できる例外があります。また、ACM発行のパブリック証明書は、AWSの統合サービスで利用する限り無料ですが、秘密鍵を含めてエクスポートしてAWS外の環境で利用したい場合は費用が発生します(AWS Certificate Manager の料金)。エクスポートされた証明書はACMの自動更新機能の対象外となるため、手動での更新管理が必要となり、証明書失効のリスクが再燃する点にも注意が必要です。
ACM発行のパブリック証明書はAWS統合サービス利用時は無料ですが、エクスポートが必要な場合は標準完全修飾ドメイン名(FQDN)単位で月額70円の手数料が発生します。エクスポートAPIコールには月10,000件の無料枠があります(2026年6月時点、AWS Certificate Manager の料金)。
IAM権限の適切な設定と最小権限の原則
AWSサービスを利用する上で、IAM (Identity and Access Management) 権限の適切な設定はセキュリティの基盤です。ACM証明書に対しても、証明書のリクエスト、承認、関連付け、削除など、各種操作には適切なIAM権限が必要です。例えば、証明書をリクエストするユーザーやロールには acm:RequestCertificate などの権限が必要であり、ELBに証明書を関連付けるには acm:ListCertificates や acm:GetCertificate に加えて iam:UploadServerCertificate (IAMで管理する証明書の場合) といった関連サービスへの権限も考慮する必要があります。最小権限の原則に従い、必要最小限の権限のみを付与することが、セキュリティリスクを低減する上で非常に重要です。不適切な権限設定は、証明書発行の失敗や意図しない削除など、サービス運用に重大な影響を及ぼす可能性があります。
Public CAとPrivate CA:ユースケースに応じた選択
ACMは、インターネットに公開されるWebサイトやサービス向けのパブリック証明書 (Public CA) の発行だけでなく、社内システムやIoTデバイス、マイクロサービス間の認証など、閉じた環境で利用するプライベート証明書 (Private CA) の管理も提供します。Public CAはグローバルに信頼される認証局が発行するため、外部のユーザーに信頼性を保証するのに適しています。一方、AWS Private CAは、独自のプライベート認証局を構築し、社内ネットワークやVPC内で利用する証明書を発行・管理するためのサービスです。これにより、自己署名証明書の手動管理に伴う課題(配布、失効、更新)を解決し、信頼性の高い内部システム間のセキュアな通信を実現できます。Private CAの利用には別途料金が発生するため、ユースケースに応じて適切なCAを選択することが重要です。
出典:AWS Certificate Manager の料金、AWS Certificate Manager とは
【ケース】証明書更新漏れによるサービス停止リスクの回避策
更新漏れが引き起こすビジネス影響の架空事例
ここに、架空のケースを挙げます。とある中小企業が運営するECサイトは、長年手動でSSL/TLS証明書を管理していました。更新期限が近づくたびに担当者が手作業で証明書を更新していましたが、多忙な時期と重なり、ある年の更新作業を完全に失念してしまいました。結果として、証明書の有効期限が切れ、サイトにアクセスしようとした顧客のブラウザには「この接続はプライベートではありません」という警告が表示され、サイトへのアクセスが実質的に不可能になりました。数時間にわたるサービス停止は、売上機会の損失に直結しただけでなく、顧客の信頼を大きく損ない、ブランドイメージの低下にも繋がりました。このような事態は、手動運用に依存しているシステムでは実際に発生しうる、重大なビジネスリスクとなります。
ACM自動更新による証明書失効リスクの根本的排除
前述の架空事例のような証明書更新漏れのリスクは、AWS ACMの自動更新機能を導入することで根本的に排除できます。ACMは、AWSの統合サービス(Application Load BalancerやAmazon CloudFrontなど)に紐付けられた証明書に対し、有効期限が近づくと自動的に更新プロセスを開始します。ユーザーは証明書の監視や手動更新作業を行う必要がなくなるため、人為的なミスによる失効がなくなります。特に、ドメイン認証方法としてDNS認証を選択していれば、ACMがDNSレコードを通じて自動的に認証を継続し、更新もスムーズに行われます。これにより、ウェブサイトやアプリケーションは常に有効な証明書によって保護され、サービスの継続性とセキュリティが保証されます。
ACM導入による運用の最適化と継続的なセキュリティ確保
ACMの導入は、単に証明書更新の手間をなくす以上のメリットをもたらします。証明書ライフサイクル管理の自動化により、IT運用担当者はより戦略的で価値の高い業務に集中できるようになります。また、ACMは常に最新のセキュリティ標準とプロトコル(例: TLS 1.2以上、IPA 独立行政法人 情報処理推進機構 推奨)に対応した証明書を提供するため、サービスのセキュリティレベルを自然と高めることができます。証明書の失効によるサービス停止リスクを回避することで、顧客は常に安全かつ安定したサービスを利用でき、企業の信頼性向上にも貢献します。ACMは、現代のデジタルビジネスにおいて、コスト効率が高く、かつ堅牢なセキュリティ体制を構築するための必須ツールと言えるでしょう。
出典:IPA 独立行政法人 情報処理推進機構、AWS Certificate Manager とは
まとめ
よくある質問
Q: AWS ACMで発行される証明書は無料ですか?
A: 公開SSL/TLS証明書の発行・更新・デプロイは無料です。ただし、AWS Private CAで発行したプライベート証明書や、外部CAのインポートには別途費用が発生します。
Q: ACM証明書の有効期限と自動更新の仕組みは?
A: ACMが発行する公開証明書の有効期間は通常13ヶ月です。ACMはドメイン認証が維持されている限り、自動的に証明書を更新するため、手動での期限管理の手間を省けます。
Q: AWS KMSとACMは何が違うのですか?
A: ACMはSSL/TLS証明書を管理するサービスであり、KMSは暗号キーを管理するサービスです。ACMは証明書のプライベートキーを保護するためにKMSと連携することがあります。
Q: AWS Private CAとACMの使い分けは?
A: ACMは主に公開Webサイト向けのSSL/TLS証明書を提供します。Private CAは組織内のプライベートな用途や内部システム向けの証明書を発行する際に利用します。
Q: ACM証明書はどのようなAWSサービスで使えますか?
A: 主にELB(ALB/NLB)、Amazon CloudFront、Amazon API GatewayといったAWSサービスと連携して利用できます。EC2インスタンス上で直接利用することはできません。
