セキュリティとコンプライアンスのクラウド運用 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティとコンプライアンスのクラウド運用

最後のドメインは、セキュリティおよびコンプライアンスのクラウドオペレーション です。これは、定義されたセキュリティおよびコンプライアンス運用ランブックを使用してクラウド運用を管理する継続的なアクティビティです。また、セキュリティクラウド運用モデルを構築し、組織におけるセキュリティとコンプライアンスの責任を決定します。

セキュリティとコンプライアンスのクラウド運用モデル

このドメインでは、セキュリティのためのクラウド運用モデルを定義します。クラウド運用モデルは、検出ワークショップで特定し、後でランブックとして定義された要件に対処する必要があります。セキュリティとコンプライアンスのクラウド運用モデルは、次の 3 つの方法のいずれかで設計できます。

  • 一元化 – より従来のモデルで、 SecOps はビジネス全体のセキュリティイベントの特定と修復を担当します。これには、パッチ適用やセキュリティ設定の問題など、ビジネスの一般的なセキュリティ体制の結果の確認が含まれます。

  • 分散型 — ビジネス全体のセキュリティイベントへの対応と修復の責任は、アプリケーション所有者と個々のビジネスユニットに委任されており、中央オペレーション機能はありません。通常、ポリシーと原則を定義する包括的なセキュリティガバナンス機能はまだあります。

  • ハイブリッド — 両方のアプローチが混在しており、セキュリティイベントへの対応を特定してオーケストレーションする責任レベルと所有権は SecOps 依然として にあり、修復の責任はアプリケーション所有者と個々のビジネスユニットが所有します。

セキュリティとコンプライアンスの要件、組織の成熟度、制約に基づいて、適切な運用モデルを選択することが重要です。セキュリティとコンプライアンスの要件と制約は、検出ワークショップ中に特定されました。一方、組織の成熟度は、運用セキュリティプラクティスのレベルを定義します。成熟度範囲の例を次に示します。

  • – ログ記録はローカルで、一部の または散発的なアクションが実行されます。

  • – さまざまなソースからのログが相関し、自動アラートが確立されます。

  • – 詳細なプレイブックがあり、標準化されたプロセスレスポンスに関する詳細が含まれています。 運用上および技術的には、アラートレスポンスの大部分が自動化されます。

セキュリティとコンプライアンスのクラウド運用モデルをさらに理解し、適切な設計の選択を支援するには、「クラウドにおけるセキュリティ運用に関する考慮事項」(AWS ブログ記事) を参照してください。事前定義された要件がないシナリオでは、クラウド運用モデルの一部としてセキュリティ運用センター (SOC) を設定することをお勧めします。これは通常、一元化された運用モデルのプラクティスです。このアプローチでは、複数のソースから一元化されたチームにイベントをルーティングし、アクションとレスポンスをトリガーできます。これにより、クラウド運用を通じてセキュリティガバナンスが標準化されます。 AWS および AWS パートナーには、SOC を構築し、Security Orchestration, Automation, and Response (SOAR) を定義および実装するのに役立つ機能があります。 AWS および AWS パートナーは、 AWS パートナーのプロフェッショナルサービス相談、定義済みテンプレート AWS サービス、およびサードパーティーツールを使用します。

継続的なセキュリティオペレーション

このドメインでは、定義したセキュリティおよびコンプライアンスオペレーションランブックを使用して、以下のタスクを継続的に実行します。

  • セキュリティとコンプライアンスのモニタリング – 定義した 、ツール、メトリクス AWS サービス、基準、頻度を使用して、セキュリティイベントと脅威を一元的にモニタリングします。運用チームまたは SOC は、組織の構造に応じて、この継続的なモニタリングを管理します。セキュリティモニタリングには、大量のログとデータの分析と相関関係が含まれます。ログデータはエンドポイント、ネットワーク AWS サービス、インフラストラクチャ、アプリケーションから取得され、Amazon Security Lake やセキュリティ情報イベント管理 (SIEM) システムなどの一元化されたリポジトリに保存されます。アラートを設定して、イベントにタイムリーに手動または自動で応答できるようにすることが重要です。

  • インシデント管理 — ベースラインのセキュリティ体制を定義します。設定ミスや外部要因によってプリセットベースラインからの逸脱が発生した場合は、インシデントを記録します。割り当てられたチームがこれらのインシデントに応答していることを確認します。クラウドで成功するインシデント対応プログラムの基礎は、インシデント対応プログラムの各段階 (準備、運用、インシデント後のアクティビティ) に人、プロセス、ツールを統合することです。クラウドインシデント対応プログラムを成功させるには、教育、トレーニング、経験が不可欠です。理想的には、セキュリティインシデントの可能性を処理する前に、これらを適切に実装する必要があります。効果的なセキュリティインシデント対応プログラムの設定の詳細については、「セキュリティAWS インシデント対応ガイド」を参照してください。また、AWS Incident Manager - セキュリティイベントへのインシデント対応を自動化するワークショップを使用して、インシデント管理の改善、可視性の向上、復旧時間の短縮 AWS サービス につながる、 に関するチームの文書化とトレーニングに役立てることができます。

  • セキュリティ検証 — セキュリティ検証には、脆弱性評価、侵入テスト、カオスセキュリティシミュレートイベントテストの実行が含まれます。セキュリティ検証は、特に以下のシナリオでは、引き続き定期的に実行する必要があります。

    • ソフトウェアの更新とリリース

    • マルウェア、ウイルス、ワームなど、新たに特定された脅威

    • 内部および外部の監査要件

    • セキュリティ違反

    セキュリティ検証プロセスを文書化し、データ収集とレポートのための人、プロセス、スケジュール、ツール、テンプレートを強調することが重要です。これにより、セキュリティ検証が標準化されます。クラウドでセキュリティ検証を実行する場合、AWS ペネトレーションテストのカスタマーサポートポリシーに引き続き準拠してください。

  • 内部監査と外部監査 — 内部監査と外部監査を実施して、セキュリティとコンプライアンスの設定が規制または内部ポリシーの要件を満たしていることを確認します。事前定義されたスケジュールに基づいて定期的に監査を実行します。内部監査は通常、社内のセキュリティおよびリスクチームによって実施されます。外部監査は、関連する機関または標準的な関係者によって実施されます。監査プロセスを容易にAWS Artifactするために AWS サービス、 AWS Audit Managerや などの を使用できます。これらのサービスは、セキュリティ IT 監査レポートに関連する証拠を提供できます。また、証拠収集を自動化することで、規制や業界標準によるリスクとコンプライアンスの管理を簡素化することもできます。これにより、コントロールと呼ばれるポリシー、手順、アクティビティが効果的に運用されているかどうかを評価することができます。また、コンプライアンスを確保するために、監査要件をマネージドサービスパートナーと調整することも重要です。

セキュリティアーキテクチャのレビュー — セキュリティとコンプライアンスの観点から、 AWS アーキテクチャの定期的なレビューと更新を完了します。アーキテクチャを四半期ごとに、またはアーキテクチャが変更された場合に確認します。 は、セキュリティとコンプライアンスの機能およびサービスの更新と改善をリリースし AWS 続けます。AWS セキュリティリファレンスアーキテクチャと AWS Well Architected Tool を使用して、これらのアーキテクチャレビューを容易にします。レビュープロセスの後に、セキュリティとコンプライアンスの実装と推奨される変更を文書化することが重要です。

AWS オペレーション用の セキュリティサービス

のセキュリティとコンプライアンスに関する責任は、 AWS 「」で と共有します AWS クラウド。この関係については、AWS 「 責任共有モデル」で詳しく説明されています。はクラウドのセキュリティ AWS を管理しますが、クラウドのセキュリティはお客様の責任となります。お客様は、オンプレミスデータセンターの場合とまったく同じように、独自のコンテンツ、インフラストラクチャ、アプリケーション、システム、ネットワークを保護する責任があります。におけるセキュリティとコンプライアンスに関するお客様の責任 AWS クラウド は、使用するサービス、それらのサービスを IT 環境に統合する方法、適用可能な法律および規制によって異なります。

の利点 AWS クラウド は、 AWS ベストプラクティスとセキュリティおよびコンプライアンスサービスを使用して、スケーリングとイノベーションを可能にすることです。これにより、使用するサービスに対してのみ料金を支払うと同時に、安全な環境を維持できます。また、セキュリティの高いエンタープライズ組織がクラウド環境を保護するために使用するのと同じ AWS セキュリティおよびコンプライアンスサービスにもアクセスできます。

健全で安全な基盤上にクラウドアーキテクチャを構築することは、クラウドのセキュリティとコンプライアンスを確保するための最初で最善のステップです。ただし、 AWS リソースは、設定と同じくらい安全です。効果的なセキュリティおよびコンプライアンス体制は、運用レベルで継続的かつ厳格な遵守によってのみ実現されます。セキュリティおよびコンプライアンスオペレーションは、大きく 5 つのカテゴリにグループ化できます。

  • データ保護

  • ID アクセスと管理

  • ネットワークとアプリケーションの保護

  • 脅威の検出と継続的なモニタリング

  • コンプライアンスとデータプライバシー

AWS セキュリティおよびコンプライアンスサービスは、これらのカテゴリにマッピングされ、包括的な要件を満たすのに役立ちます。これらのカテゴリに分類される AWS セキュリティとコンプライアンスのコアサービスとそれらの機能は次のとおりです。これらのサービスは、クラウドセキュリティガバナンスの構築と実施に役立ちます。

データ保護

AWS は、データ、アカウント、ワークロードを不正アクセスから保護するのに役立つ以下のサービスを提供します。

  • AWS Certificate Manager – で使用する SSL/TLS 証明書をプロビジョニング、管理、デプロイします AWS サービス。

  • AWS CloudHSM – でハードウェアセキュリティモジュール (HSMs) を管理します AWS クラウド。

  • AWS Key Management Service (AWS KMS) – データの暗号化に使用されるキーを作成して制御します。

  • Amazon Macie – 機械学習によるセキュリティ機能を使用して、機密データを検出、分類、保護します。

  • AWS Secrets Manager – データベース認証情報、API キー、その他のシークレットをライフサイクルを通じてローテーション、管理、取得します。

ID およびアクセス管理

以下の AWS ID サービスは、ID、リソース、アクセス許可を大規模に安全に管理するのに役立ちます。

  • Amazon Cognito: Web およびモバイルアプリケーションに、ユーザーサインアップ、サインイン、アクセス制御を追加します。

  • AWS Directory Service – でマネージド Microsoft Active Directory を使用します AWS クラウド。

  • AWS IAM Identity Center – 複数の AWS アカウント およびビジネスアプリケーションへのシングルサインオン (SSO) アクセスを一元管理します。

  • AWS Identity and Access Management (IAM) — および リソースへのアクセス AWS サービス を安全に制御します。

  • AWS Organizations – 複数の にポリシーベースの管理を実装します AWS アカウント。

  • AWS Resource Access Manager (AWS RAM) – アカウント間で AWS リソースを共有します。

ネットワークとアプリケーションの保護

このサービスのカテゴリは、組織全体のネットワークコントロールポイントにきめ細かなセキュリティポリシーを適用するのに役立ちます。以下は AWS サービス 、ホストレベル、ネットワークレベル、およびアプリケーションレベルの境界での不正なリソースアクセスを防ぐために、トラフィックを検査およびフィルタリングするのに役立ちます。

  • AWS Firewall Manager – および アプリケーション間の AWS WAF ルールを一元的に設定 AWS アカウント および管理します。

  • AWS Network Firewall – Virtual Private Cloud (VPCs) に不可欠なネットワーク保護をデプロイします。

  • Amazon Route 53 Resolver DNS Firewall – VPCs からのアウトバウンド DNS リクエストを保護するのに役立ちます。

  • AWS Shield – マネージド DDoS 保護でウェブアプリケーションを保護します。

  • AWS Systems Manager – OS パッチの適用、安全なシステムイメージの作成、オペレーティングシステムの設定を行うため、Amazon Elastic Compute Cloud (Amazon EC2) とオンプレミスシステムを設定および管理します。

  • Amazon Virtual Private Cloud (Amazon VPC) – 論理的に隔離された のセクションをプロビジョニングします。 AWS ここでは、定義した仮想ネットワークで AWS リソースを起動できます。

  • AWS WAF – 一般的なウェブの悪用からウェブアプリケーションを保護するのに役立ちます。

脅威の検出と継続的なモニタリング

以下の AWS モニタリングおよび検出サービスは、 AWS 環境内の潜在的なセキュリティインシデントを特定するのに役立ちます。

  • AWS CloudTrail – ユーザーアクティビティと API の使用状況を追跡して、 のガバナンス、運用、リスクの監査を可能にします AWS アカウント。

  • AWS Config – AWS リソースの設定を記録して評価し、コンプライアンスの監査、リソースの変更の追跡、リソースセキュリティの分析に役立ちます。

  • AWS Config ルール – リソースの分離、追加データによるイベントの強化、既知の正常な状態への設定の復元など、環境の変化に応じて自動的に動作するルールを作成します。

  • Amazon Detective:セキュリティデータを分析して視覚化し、潜在的なセキュリティ問題の根本原因を迅速に把握できます。

  • Amazon GuardDuty – インテリジェントな脅威検出 AWS アカウント と継続的なモニタリングにより、 と のワークロードを保護します。

  • Amazon Inspector: AWSにデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるためのセキュリティ評価を自動化します。

  • AWS Lambda – サーバーをプロビジョニングまたは管理せずにコードを実行するため、プログラムされた自動対応をインシデントにスケーリングできます。

  • AWS Security Hub:セキュリティアラートを表示および管理し、一元的な場所からコンプライアンスチェックを自動化します。

コンプライアンスとデータプライバシー

以下は AWS サービス 、コンプライアンスステータスの包括的なビューです。 AWS ベストプラクティスと業界標準に基づく自動コンプライアンスチェックを使用して、環境を継続的にモニタリングします。

  • AWS Artifact – AWS セキュリティおよびコンプライアンスレポートへのオンデマンドアクセスとオンライン契約の選択を行います。

  • AWS Audit Manager – AWS 使用状況を継続的に監査して、リスク管理の方法を簡素化し、規制や業界標準への準拠を維持します。