Amazon ECS のセキュリティとコンプライアンスのベストプラクティス - Amazon Elastic Container Service
決済カード業界のデータセキュリティ基準 (PCI DSS) HIPAA (米国の医療保険の相互運用性と説明責任に関する法令) AWS Security HubAmazon ECS Runtime Monitoring を使用した Amazon GuardDutyコンプライアンスに関する推奨事項

Amazon ECS のセキュリティとコンプライアンスのベストプラクティス

Amazon ECS を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性や貴社のコンプライアンス目標、および該当する法規制によって決定されます。

決済カード業界のデータセキュリティ基準 (PCI DSS)

PCI DSS を順守する際には、環境内のカード所有者データ (CHD) の流れ全体を理解することが重要です。CHD フローは PCI DSS の適用性を決定し、カード会員データ環境 (CDE) の境界と構成要素を定義し、PCI DSS 評価の範囲を定義します。PCI DSS の範囲を正確に決定することは、セキュリティ体制を定義し、最終的に評価を成功させるための鍵となります。範囲の完全性を保証し、範囲からの変更や逸脱を検出する範囲決定手順は、お客様で用意する必要があります。

コンテナ化されたアプリケーションは一時的な性質を持つため、構成の監査がさらに複雑になります。そのため、コンテナのライフサイクルの全段階でコンプライアンス要件に対応できるよう、お客様はコンテナのすべての設定パラメータを常に把握しておく必要があります。

Amazon ECS での PCI DSS コンプライアンスの達成方法の詳細については、次のホワイトペーパーを参照してください。

HIPAA (米国の医療保険の相互運用性と説明責任に関する法令)

Amazon ECS で保護対象医療情報 (PHI) を処理するワークロードを使用する場合、追加の設定は不要です。Amazon ECS は、Amazon EC2 でのコンテナの起動を調整するオーケストレーションサービスとして機能します。オーケストレーション対象のワークロード内のデータに対して動作したり、データに基づいて動作したりすることはありません。HIPAA 規制および AWS ビジネスアソシエイト補遺に従い、Amazon ECS で起動されたコンテナが PHI にアクセスする場合は、転送中も保存中も暗号化する必要があります。

AWS ストレージオプションごとに Amazon S3、Amazon EBS、AWS KMS など、保存時の暗号化のためのさまざまなメカニズムを利用できます。オーバーレイネットワーク (VNS3 や Weave Net など) をデプロイして、コンテナ間で転送される PHI を完全に暗号化したり、あるいは暗号化の冗長レイヤーを提供することもできます。完全なログを使用し、すべてのコンテナログが Amazon CloudWatch に送信されるようにしてください。インフラストラクチャセキュリティのベストプラクティスの使用については、「セキュリティの柱 – AWS Well-Architected フレームワーク」の「インフラストラクチャの保護」を参照してください。

AWS Security Hub

AWS Security Hub を使用します。この AWS のサービス は、AWS 内のセキュリティ状態の包括的なビューを提供します。Security Hub では、セキュリティコントロールを使用して AWS リソースを評価し、セキュリティ業界標準とベストプラクティスに対するコンプライアンスをチェックします。サポートされているサービスとコントロールの一覧については、Security Hub のコントロールリファレンスを参照してください。

Amazon ECS Runtime Monitoring を使用した Amazon GuardDuty

Amazon GuardDuty は、AWS 環境内のアカウント、コンテナ、ワークロード、データを保護する脅威検知サービスです。GuardDuty は、機械学習(ML)モデル、異常および脅威検出機能を使用して、さまざまなログソースとランタイムアクティビティを継続的に監視し、環境内の潜在的なセキュリティリスクと悪意のあるアクティビティを特定して優先順位を付けます。

GuardDuty のランタイムモニタリングを使用して、悪意のある、または不正な動作を特定します。ランタイムモニタリングは、AWS ログとネットワークアクティビティを継続的に監視して悪意のある動作や不正な動作を特定することで、Fargate および EC2 で実行されているワークロードを保護します。ランタイムモニタリングは、軽量でフルマネージド型の GuardDuty セキュリティエージェントを使用して、ファイルアクセス、プロセス実行、ネットワーク接続などのホスト上動作を分析します。これは、Amazon EC2 インスタンスおよびコンテナワークロードでの権限の昇格、流出した認証情報の使用、悪意のある IP アドレスやドメインとの通信、マルウェアの存在などの問題に対応しています。詳細については、「GuardDuty ユーザーガイド」の「GuardDuty ランタイムモニタリング」を参照してください。

コンプライアンスに関する推奨事項

関連するコンプライアンスプログラムを効果的に運用するには、早めに社内のコンプライアンスプログラムの所有者に働きかけることで、AWS 責任共有モデルを利用してコンプライアンス管理責任の所在を明確化することをお勧めします。詳細については、「Amazon ECS の AWS 責任共有モデル。」を参照してください。