暗号化のベストプラクティスと AWS のサービス の機能

Kurt Kumar、Amazon Web Services (AWS)

2022 年 12 月 (ドキュメント履歴)

現代のサイバーセキュリティの脅威には、権限のある人がネットワークにアクセスして企業データを盗むという、データ漏えいのリスクが含まれます。データは各組織に固有のビジネス資産です。これには、顧客情報、事業計画、設計文書、コードなどが含まれます。ビジネスを保護するということは、データを保護するということです。

ファイアウォールなどの対策は、データ侵害の発生を防ぐのに役立ちます。ただし、データ暗号化は、侵害が発生した後でもビジネスデータを保護するのに役立ちます。データ暗号化によって、意図しない開示に対して防御を強化します。AWS クラウド 内の暗号化されたデータにアクセスするには、ユーザーは、キーを使用して復号化する権限と、データが保存されているサービスを使用する権限を必要とします。この両方の権限がないと、ユーザーはデータを復号化して表示することができません。

一般的に、暗号化できるデータには 2 種類あります。1 つは転送中のデータで、ネットワーク内 (ネットワークリソース間など) を活発に移動するデータのことです。もう 1 つは保管中のデータで、ストレージ内のデータなど、静止していて休眠中のデータのことです。例としては、ブロックストレージ、オブジェクトストレージ、データベース、アーカイブ、モノのインターネット (IoT) デバイスなどです。このガイドでは、両方のタイプのデータを暗号化する際の考慮事項とベストプラクティスについて説明します。また、多くの AWS のサービス で利用できる暗号化機能と制御についても説明します。これで暗号化に関する推奨事項を、AWS クラウド 環境にサービスレベルで実装できるようになります。

対象者

このガイドは、公共機関と民間企業の両方の、小規模、中規模、大規模の組織で使用できます。組織がデータ保護戦略の評価と実施の初期段階にあるか、または既存のセキュリティ管理の強化を目指しているかにかかわらず、このガイドで説明する推奨事項は次の対象者に最適です。

• 最高経営責任者 (CEO)、最高技術責任者 (CTO)、最高情報責任者 (CIO)、最高情報セキュリティ責任者 (CISO) など、企業の方針を策定する執行役員

• 技術担当副社長や取締役など、技術標準の設定を担当する技術責任者

• 以下の責任を負うビジネスステークホルダーとアプリケーションオーナー

  • リスクに対する姿勢、データ分類、保護要件の評価

  • 確立された組織基準の遵守状況の監視

• 法定および任意のコンプライアンス制度を含む、コンプライアンスポリシーの遵守状況の監視を担当するコンプライアンス、内部監査、ガバナンス担当者