AWS 規範的ガイダンスの用語集 - AWS 規範ガイダンス
ネットワーク用語セキュリティ関連の用語

AWS 規範的ガイダンスの用語集

以下は、AWS 規範的ガイダンスによって提供される戦略、ガイド、パターンで一般的に使用される用語です。エントリを提案するには、用語集の最後のフィードバックの提供リンクを使用します。

ネットワーク用語

アベイラビリティーゾーン

AWS リージョン 内の仕切られた場所は、他のアベイラビリティーゾーンに障害が発生してもその影響を受けず、低コスト、低レイテンシーで同一リージョン内の他のアベイラビリティーゾーンに接続できます。

エンドポイント

サービスエンドポイント」を参照してください。

エンドポイントサービス

仮想プライベートクラウド (VPC) 内でホストして、他のユーザーと共有できるサービス。エンドポイントサービスは AWS PrivateLink を使って作成でき、アクセス許可を他の AWS アカウント または AWS Identity and Access Management (IAM) プリンシパルに付与することができます。これらのアカウントまたはプリンシパルは、インターフェイス VPC エンドポイントを作成することで、エンドポイントサービスにプライベートに接続できます。詳細については、Amazon Virtual Private Cloud (Amazon VPC) ドキュメントの「エンドポイントサービスを作成する」を参照してください。

プライベートホストゾーン

1 つ以上の VPC 内のドメインとそのサブドメインへの DNS クエリに対し、Amazon Route 53 がどのように応答するかに関する情報を保持するコンテナ。詳細については、Route 53 ドキュメントの「プライベートホストゾーンの使用」を参照してください。

リージョン

地理的な領域内の AWS リソースのコレクション。各 AWS リージョン は、耐障害性、安定性、レジリエンスを実現するために他のリージョンと分離され、独立しています。詳細については、AWS 全般のリファレンス の「Managing AWS リージョン」を参照してください。

サービスエンドポイント

AWS のサービス のエントリポイントの URL。ターゲットサービスにプログラムで接続するには、エンドポイントを使用します。詳細については、AWS 全般のリファレンス の「AWS のサービス エンドポイント」を参照してください。

サブネット

VPC 内の IP アドレスの範囲。サブネットは、1 つのアベイラビリティーゾーンに存在する必要があります。

トランジットゲートウェイ

VPC とオンプレミスネットワークを相互接続するために使用できる、ネットワークの中継ハブ。詳細については、AWS Transit Gateway ドキュメントの「Transit Gateway とは」を参照してください。

VPC ピアリング

プライベート IP アドレスを使用してトラフィックをルーティングできる、2 つの VPC 間の接続。詳細については、Amazon VPC ドキュメントの「VPC ピア機能とは」を参照してください。

セキュリティ関連の用語

属性ベースのアクセス制御 (ABAC)

部署、役職、チーム名など、ユーザーの属性に基づいてアクセス許可をきめ細かく設定する方法。詳細については、AWS Identity and Access Management (IAM) ドキュメントの「AWS の ABAC とは」を参照してください。

非対称暗号化

暗号化用のパブリックキーと復号用のプライベートキーから成る 1 組のキーを使用した、暗号化のアルゴリズム。パブリックキーは復号には使用されないため共有しても問題ありませんが、プライベートキーの利用は厳しく制限する必要があります。

動作グラフ

リソースの動作とインタラクションを経時的に示した、一元的なインタラクティブビュー。Amazon Detective の動作グラフを使用すると、失敗したログオンの試行、不審な API 呼び出し、その他同様のアクションを調べることができます。詳細については、Detective ドキュメントの「Data in a behavior graph」を参照してください。

クライアント側の暗号化

ターゲットの AWS のサービス が受け取る前に、データをローカルで暗号化すること。

コンフォーマンスパック

組み合わせることでコンプライアンスチェックとセキュリティチェックをカスタマイズできる、AWS Config ルールと修復アクションのコレクション。コンフォーマンスパックは、1 つのエンティティとして AWS アカウント とリージョンに、または YAML テンプレートを使用して組織全体にデプロイできます。詳細については、AWS Config ドキュメントの「コンフォーマンスパック」を参照してください。

保管中のデータ

ストレージ内にあるデータなど、常に自社のネットワーク内にあるデータ。

データ分類

ネットワーク内のデータを重要度と機密性に基づいて識別、分類するプロセス。データに適した保護および保持のコントロールを判断する際に役立つため、あらゆるサイバーセキュリティのリスク管理戦略において重要な要素です。データ分類は、AWS Well-Architected フレームワークの、セキュリティの柱の一要素です。詳細については、「データ分類」を参照してください。

転送中のデータ

ネットワーク内 (ネットワークリソース間など) を活発に移動するデータ。

多層防御

一連のセキュリティメカニズムとコントロールをコンピュータネットワーク全体に層状に重ねて、ネットワークとその内部にあるデータの機密性、整合性、可用性を保護する情報セキュリティの手法。この戦略を AWS に採用すると、AWS Organizations 構造内の各層に複数のコントロールが追加され、リソースの安全を維持できます。

委任管理者

AWS Organizations では、互換性のあるサービスは AWS メンバーアカウントを登録することで、組織のアカウントやそのサービスのアクセス許可を管理できるようになります。このアカウントを、そのサービスの委任管理者と呼びます。詳細、および互換性のあるサービスの一覧は、AWS Organizations ドキュメントの「AWS Organizations で使用できるサービス」を参照してください。

検出管理

イベントが発生したときに、検出、ログ記録、警告を行うように設計されたセキュリティコントロール。これらのコントロールは副次的な防衛手段であり、実行中の予防的コントロールをすり抜けたセキュリティイベントをユーザーに警告します。詳細については、「Implementing security controls on AWS」の「Detective controls」を参照してください。

Encryption Key

暗号化アルゴリズムが生成した、ランダム化されたビットからなる暗号文字列。キーの長さは決まっておらず、各キーは予測できないように、一意になるように設計されています。

エンドポイントサービス

仮想プライベートクラウド (VPC) 内でホストして、他のユーザーと共有できるサービス。AWS PrivateLink を使用してエンドポイントサービスを作成し、他の AWS アカウント または IAM プリンシパルにアクセス許可を付与することができます。これらのアカウントまたはプリンシパルは、インターフェイス VPC エンドポイントを作成することで、エンドポイントサービスにプライベートに接続できます。詳細については、Amazon VPC ドキュメントの「エンドポイントサービスを作成する」を参照してください。

エンベロープ暗号化

暗号化キーを、別の暗号化キーを使用して暗号化するプロセス。詳細については、AWS Key Management Service (AWS KMS) ドキュメントの「エンベロープ暗号化」を参照してください。

地理的制限 (ジオブロッキング)

特定の国のユーザーがコンテンツ配信にアクセスできないようにするための、Amazon CloudFront のオプション。アクセスを許可する国と禁止する国は、許可リストまたは禁止リストを使って指定します。詳細については、CloudFront ドキュメントの「コンテンツの地理的ディストリビューションの制限」を参照してください。

ガードレール

組織単位 (OU) 全般のリソース、ポリシー、コンプライアンスを管理するのに役立つ概略的なルール。予防ガードレールは、コンプライアンス基準に一致するようにポリシーを実施します。これらは、サービスコントロールポリシーと IAM アクセス許可の境界を使用して実装されます。検出ガードレールは、ポリシー違反やコンプライアンス上の問題を検出し、修復のためのアラートを発信します。これらは、AWS Config、AWS Security Hub、Amazon GuardDuty、AWS Trusted Advisor、Amazon Inspector、カスタムの AWS Lambda チェックを使用して実装されます。

ID ベースのポリシー

AWS クラウド 環境内のアクセス許可を定義している、1 つ以上の IAM プリンシパルにアタッチされたポリシー。

インバウンド (受信) VPC

AWS マルチアカウントアーキテクチャ内で、アプリケーション外部からのネットワーク接続を受け入れ、検査し、ルーティングする VPC。AWS Security Reference Architecture では、アプリケーションとより広範なインターネット間の双方向のインターフェイスを保護するために、インバウンド、アウトバウンド、インスペクションの各 VPC を使用してネットワークアカウントを設定することを推奨しています。

インスペクション VPC

AWS マルチアカウントアーキテクチャ内で、(同一または異なる AWS リージョン の) VPC、インターネット、オンプレミスネットワーク間のネットワークトラフィックの検査を管理する、一元化された VPC。AWS Security Reference Architecture では、アプリケーションとより広範なインターネット間の双方向のインターフェイスを保護するために、インバウンド、アウトバウンド、インスペクションの各 VPC を使用してネットワークアカウントを設定することを推奨しています。

最小特権

タスクの実行には必要最低限の権限を付与するという、セキュリティのベストプラクティス。詳細については、IAM ドキュメントの「最小特権アクセス許可を適用する」を参照してください。

メンバーアカウント

AWS Organizations の組織に含まれる管理アカウント以外の、すべての AWS アカウント。 アカウントが 組織のメンバーになることができるのは、一度に 1 つのみです。

組織の証跡

AWS Organizations 内の一組織の、すべての AWS アカウント のイベントをすべてログ記録している AWS CloudTrail が作成した証跡。証跡は、組織に含まれている各 AWS アカウント に作成され、各アカウントのアクティビティを追跡します。詳細については、CloudTrail ドキュメントの「組織の証跡の作成」を参照してください。

アウトバウンド (送信) VPC

AWS マルチアカウントアーキテクチャで、アプリケーションの内部から開始したネットワーク接続を処理する VPC。AWS Security Reference Architecture では、アプリケーションとより広範なインターネット間の双方向のインターフェイスを保護するために、インバウンド、アウトバウンド、インスペクションの各 VPC を使用してネットワークアカウントを設定することを推奨しています。

オリジンアクセスコントロール (OAC)

Amazon Simple Storage Service (Amazon S3) コンテンツを保護するための、CloudFront のアクセス制限の強化オプション。OAC は、すべての AWS リージョン のすべての S3 バケット、AWS KMS (SSE-KMS) を使用したサーバー側の暗号化、S3 バケットへのダイナミックな PUT および DELETE リクエストをサポートしています。

オリジンアクセスアイデンティティ (OAI)

CloudFront の、Amazon S3 コンテンツを保護するためのアクセス制限オプション。OAI を使用すると、CloudFront が、Amazon S3 に認証可能なプリンシパルを作成します。認証されたプリンシパルは、S3 バケット内のコンテンツに、特定の CloudFront ディストリビューションを介してのみアクセスできます。「OAC」も併せて参照してください。OAC では、より詳細な、強化されたアクセスコントロールが可能です。

アクセス許可の境界

ユーザーまたはロールが使用できるアクセス許可の上限を設定する、IAM プリンシパルにアタッチされる IAM 管理ポリシー。詳細については、IAM ドキュメントの「アクセス許可の境界」を参照してください。

ポリシー

アクセス許可の定義 (「ID ベースのポリシー」を参照) やアクセス条件の指定 (「リソースベースのポリシー」を参照) ができる、または AWS Organizations の組織の全アカウントのアクセス許可の上限を定義できるオブジェクト (「サービスコントロールポリシー」を参照)。

予防的コントロール

イベントの発生を防ぐように設計されたセキュリティコントロール。このコントロールは、ネットワークへの不正アクセスや好ましくない変更を防ぐ最前線の防御です。詳細については、「Implementing security controls on AWS」の「Preventative controls」を参照してください。

プリンシパル

アクションを実行してリソースにアクセスできる AWS 内のエンティティです。このエンティティは、通常は AWS アカウント のルートユーザー、IAM ロール、ユーザーのいずれかになります。詳細については、IAM ドキュメントの「ロールに関する用語と概念」内にある「プリンシパル」を参照してください。

ランサムウェア

決済が完了するまでコンピュータシステムまたはデータへのアクセスをブロックするように設計された、悪意のあるソフトウェア。

リソースベースのポリシー

Amazon S3 バケット、エンドポイント、暗号化キーなどのリソースにアタッチされたポリシー。このタイプのポリシーは、アクセスが許可されているプリンシパル、サポートされているアクション、その他の満たすべき条件を指定します。

レスポンシブコントロール

有害事象やセキュリティベースラインからの逸脱について、修復を促すように設計されたセキュリティコントロール。詳細については、「Implementing security controls on AWS」の「Responsive controls」を参照してください。

SAML 2.0

多くの ID プロバイダー (IdP) が使用しているオープンスタンダード。この機能ではフェデレーティッドシングルサインオン (SSO) が有効になるため、組織内の全員に IAM のユーザーを作成しなくても、ユーザーが AWS Management Console にログインしたり AWS API オペレーションを呼び出したりできます。SAML 2.0 ベースのフェデレーションの詳細については、IAM ドキュメントの「SAML 2.0 ベースのフェデレーションについて」を参照してください。

セキュリティコントロール

脅威アクターによるセキュリティ脆弱性の悪用を防止、検出、軽減するための、技術上または管理上のガードレール。セキュリティコントロールには大きく分けて、予防検出応答の 3 つのコントロールがあります。

セキュリティ強化

アタックサーフェスを狭めて攻撃への耐性を高めるプロセス。このプロセスには、不要になったリソースの削除、最小特権を付与するセキュリティのベストプラクティスの実装、設定ファイル内の不要な機能の無効化、といったアクションが含まれています。

Security Information and Event Management (SIEM) システム

セキュリティ情報管理 (SIM) とセキュリティイベント管理 (SEM) のシステムを組み合わせたツールとサービス。SIEM システムは、サーバー、ネットワーク、デバイス、その他ソースからデータを収集、モニタリング、分析して、脅威やセキュリティ違反を検出し、アラートを発信します。

サーバー側の暗号化

データを受信した AWS のサービス によって、送信先でデータが暗号化されること。

サービスコントロールポリシー (SCP)

AWS Organizations の組織内の、すべてのアカウントのアクセス許可を一元的に管理するポリシー。SCP は、管理者がユーザーまたはロールに委任するアクションに、ガードレールを定義したり、アクションの制限を設定したりします。SCP は、許可リストまたは拒否リストとして、許可または禁止するサービスやアクションを指定する際に使用できます。詳細については、AWS Organizations ドキュメントの「サービスコントロールポリシー (SCP)」を参照してください。

責任共有モデル

ユーザーが、クラウドセキュリティとコンプライアンスに関する責任を AWS と共有するモデルのこと。AWS はクラウド自体のセキュリティに対して責任を負い、ユーザーはクラウド内のセキュリティに対して責任を負います。詳細については、「責任共有モデル」を参照してください。

対称暗号化

データの暗号化と復号に同じキーを使用する暗号化のアルゴリズム。

信頼されたアクセス

AWS Organizations の組織およびそのアカウントで、ユーザーに代わって指定したサービスにタスクを実行させるためにアクセス許可を付与すること。信頼されたサービスは、サービスにリンクされたロールを必要なときに各アカウントに作成し、ユーザーに代わって管理タスクを実行します。詳細については、AWS Organizations ドキュメントの「AWS Organizations を他の AWS サービスと併用する」を参照してください。

ワークロード

ビジネス価値をもたらすリソースとコード (顧客向けアプリケーションやバックエンドプロセスなど) の総称。