データを保護するためのセキュリティコントロールの推奨事項

AWS Well-Architected フレームワークは、データを保護するためのベストプラクティスを 3 つのカテゴリにグループ化します。データ分類、保管中のデータの保護、転送中のデータの保護です。このセクションのセキュリティコントロールは、データ保護のベストプラクティスを実装するのに役立ちます。クラウド内のワークロードを設計する前に、これらの基本的なベストプラクティスを実施する必要があります。データの誤処理を防ぎ、組織、規制、コンプライアンスの義務を満たすのに役立ちます。このセクションのセキュリティコントロールを使用して、データ保護のベストプラクティスを実装します。

ワークロードレベルでデータを特定して分類する

データ分類とは、ネットワーク内のデータを重要度と機密性に基づいて識別、分類するプロセスのことです。データに適した保護および保持のコントロールを判断する際に役立つため、あらゆるサイバーセキュリティのリスク管理戦略において重要な要素です。データ分類は、多くの場合、データ重複の頻度を減らします。これにより、ストレージとバックアップのコストを削減し、検索を高速化できます。

ワークロードが処理するデータの種類と分類、関連するビジネスプロセス、データの保存場所、データの所有者を把握することをお勧めします。データ分類は、ワークロード所有者が機密データを保存する場所を特定し、そのデータにアクセスして共有する方法を決定するのに役立ちます。タグは、 AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。タグは、リソースの管理、識別、整理、検索、フィルタリングに役立ちます。

詳細については、以下のリソースを参照してください。

• AWS ホワイトペーパーのデータ分類

• AWS Well-Architected フレームワークでワークロード内のデータを特定する

各データ分類レベルのコントロールを確立する

分類レベルごとにデータ保護コントロールを定義します。たとえば、推奨されるコントロールを使用して、パブリックに分類されるデータを保護し、追加のコントロールで機密データを保護します。データに直接アクセスしたり、手動で処理したりする必要性を軽減または排除するメカニズムとツールを使用します。データ識別と分類を自動化することで、誤分類、誤処理、変更、人為的ミスのリスクが軽減されます。

例えば、Amazon Macie を使用して Amazon Simple Storage Service (Amazon S3) バケットをスキャンし、個人を特定できる情報 (PII) などの機密データを探すことを検討してください。また、Amazon Virtual Private Cloud (Amazon VPC) の VPC フローログを使用して、意図しないデータアクセスの検出を自動化することもできます。

詳細については、以下のリソースを参照してください。

• AWS Well-Architected フレームワークでデータ保護コントロールを定義する

• AWS Well-Architected フレームワークでの識別と分類の自動化

• AWS 規範ガイダンスのAWS プライバシーリファレンスアーキテクチャ (AWS PRA)

• Amazon Macie による機密データの検出」

• Amazon VPC ドキュメントの VPC フローログを使用した IP トラフィックのログ記録

• for Things ブログの「 を使用して PHI および PII データを検出する一般的な手法 AWS のサービス AWS 」

保管中のデータを暗号化する

保管中のデータは、ストレージにあるデータなど、ネットワーク内で静止しているデータです。保管中のデータの暗号化と適切なアクセスコントロールを実装することで、不正アクセスのリスクを軽減できます。暗号化は、人間が読み取り可能なプレーンテキストデータを暗号文に変換するコンピューティングプロセスです。コンテンツをプレーンテキストに復号して使用できるようにするには、暗号化キーが必要です。では AWS クラウド、 AWS Key Management Service （AWS KMS) を使用して、データの保護に役立つ暗号化キーを作成および制御できます。

で説明したように各データ分類レベルのコントロールを確立する、暗号化が必要なデータのタイプを指定するポリシーを作成することをお勧めします。どのデータを暗号化し、どのデータをトークン化やハッシュ化などの別の手法で保護するかを決定する方法に関する基準を含めます。

詳細については、以下のリソースを参照してください。

• Amazon S3 ドキュメントのデフォルトの暗号化の設定

• Amazon EC2 ドキュメントの新しい EBS ボリュームとスナップショットコピーのデフォルトでの暗号化

• Amazon Aurora ドキュメントの Amazon Aurora リソースの暗号化

• ドキュメントの の暗号化の詳細の概要 AWS KMS AWS KMS

• AWS 規範ガイダンスの保管中のデータのエンタープライズ暗号化戦略の作成

• AWS Well-Architected フレームワークで保管時の暗号化を適用する

• 特定の での暗号化の詳細については AWS のサービス、そのサービスのAWS ドキュメントを参照してください。

転送中のデータを暗号化する

1 つは転送中のデータで、ネットワーク内 (ネットワークリソース間など) を活発に移動するデータのことです。安全な TLS プロトコルと暗号スイートを使用して、転送中のすべてのデータを暗号化します。データへの不正アクセスを防ぐために、リソースとインターネット間のネットワークトラフィックは暗号化する必要があります。可能であれば、TLS を使用して内部 AWS 環境内のネットワークトラフィックを暗号化します。

詳細については、以下のリソースを参照してください。

• Amazon CloudFront ドキュメントのビューワーと CloudFront 間の通信に HTTPS を要求する Amazon CloudFront

• 「AWS PrivateLink ドキュメント」

• AWS Well-Architected フレームワークで転送中の暗号化を強制する

• 特定の での暗号化の詳細については AWS のサービス、そのサービスのAWS ドキュメントを参照してください。

Amazon EBS スナップショットへのパブリックアクセスをブロックする

Amazon Elastic Block Store (Amazon EBS) は、 Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで使用するブロックレベルストレージのボリュームを提供します。ポイントインタイムスナップショットを作成することで、Amazon EBSボリュームのデータを Amazon S3 にバックアップできます。スナップショットは、他のすべてのスナップショットとパブリックに共有することも AWS アカウント、 AWS アカウント 指定した個人とプライベートに共有することもできます。

Amazon EBS スナップショットをパブリックに共有しないことをお勧めします。これにより、誤って機密データが公開される可能性があります。スナップショットを共有すると、スナップショット内のデータへのアクセス権が他のユーザーに付与されます。スナップショットは、このすべてのデータで信頼するユーザーとのみ共有します。

詳細については、以下のリソースを参照してください。

• Amazon EC2 ドキュメントでスナップショットを共有する

• Amazon EBS スナップショットは、ドキュメントでパブリックに復元できません AWS Security Hub

• ドキュメントの AWS Config ebs-snapshot-public-restorable-check

Amazon RDS スナップショットへのパブリックアクセスをブロックする

Amazon Relational Database Service (Amazon RDS) は、 でリレーショナルデータベースをセットアップ、運用、スケーリングするのに役立ちます AWS クラウド。Amazon RDS は、DB インスタンスのバックアップウィンドウ中に、データベース (DB) インスタンスまたはマルチ AZ DB クラスターの自動バックアップを作成して保存します。Amazon RDS は DB インスタンスのストレージボリュームのスナップショットを作成し、個々のデータベースだけではなく、その DB インスタンス全体をバックアップします。手動スナップショットは、スナップショットをコピーしたり、そこから DB インスタンスを復元したりするために共有できます。

スナップショットをパブリックとして共有する場合は、スナップショット内のデータがプライベートでも機密でもないことを確認してください。スナップショットがパブリックに共有されると、データにアクセスするためのすべての AWS アカウント アクセス許可が付与されます。これにより、Amazon RDS インスタンス内のデータが意図せず公開される可能性があります。

詳細については、以下のリソースを参照してください。

• Amazon RDS ドキュメントでの DB スナップショットの共有

• AWS Config rdrds-snapshots-public-prohibited ドキュメント

• RDS スナップショットは Security Hub ドキュメントでプライベートにする必要があります

Amazon RDS、Amazon Redshift、および AWS DMS リソースへのパブリックアクセスをブロックする

Amazon RDS DB インスタンス、Amazon Redshift クラスター、および AWS Database Migration Service （AWS DMS) レプリケーションインスタンスをパブリックにアクセス可能に設定できます。publiclyAccessible フィールド値が の場合true、これらのリソースはパブリックにアクセスできます。パブリックアクセスを許可すると、不要なトラフィック、露出、データリークが発生する可能性があります。これらのリソースへのパブリックアクセスを許可しないことをお勧めします。

Amazon RDS DB インスタンス、 AWS DMS レプリケーションインスタンス、または Amazon Redshift クラスターがパブリックアクセスを許可するかどうかを検出するには、 AWS Config ルールまたは Security Hub コントロールを有効にすることをお勧めします。

注記

レ AWS DMS プリケーションインスタンスのパブリックアクセス設定は、インスタンスのプロビジョニング後に変更することはできません。パブリックアクセス設定を変更するには、現在のインスタンスを削除してから再作成します。再作成するときは、パブリックにアクセス可能なオプションを選択しないでください。

詳細については、以下のリソースを参照してください。

• Security Hub ドキュメントでAWS DMS レプリケーションインスタンスを公開しないでください

• RDS DB インスタンスは、Security Hub ドキュメントのパブリックアクセスを禁止する必要があります

• Amazon Redshift クラスターは、Security Hub ドキュメントのパブリックアクセスを禁止する必要があります

• AWS Config ドキュメントの rds-instance-public-access-check

• AWS Config ドキュメントの「dms-replication-not-public」

• ドキュメントの AWS Config redshift-cluster-public-access-check

• Amazon RDS ドキュメントの Amazon RDS DB インスタンスの変更

• Amazon Redshift ドキュメントのクラスターの変更

Amazon S3 バケットへのパブリックアクセスをブロックする

バケットにパブリックにアクセスできないようにすることは、Amazon S3 セキュリティのベストプラクティスです。インターネット上の誰かがバケットを読み書きできるように明示的に要求しない限り、バケットがパブリックでないことを確認してください。これにより、データの整合性とセキュリティが保護されます。 AWS Config ルールと Security Hub コントロールを使用して、Amazon S3 バケットがこのベストプラクティスに準拠していることを確認できます。

詳細については、以下のリソースを参照してください。

• Amazon S3 ドキュメントの Amazon S3 セキュリティのベストプラクティス Amazon S3

• Security Hub ドキュメントで S3 パブリックアクセスブロック設定を有効にする必要があります

• S3 バケットは Security Hub ドキュメントのパブリック読み取りアクセスを禁止する必要があります

• S3 バケットは、Security Hub ドキュメントのパブリック書き込みアクセスを禁止する必要があります

• ドキュメントの AWS Config s3-bucket-public-read-prohibited ルール

• AWS Config ドキュメントで禁止されている s3-bucket-public-write-prohibited

重要な Amazon S3 バケット内のデータの削除を MFA に要求する

Amazon S3 バケットで S3 バージョニングを行うときに、MFA (多要素認証) Delete が有効になるようにバケットを設定すれば、セキュリティをさらに強化できます。この設定を行うと、バケット所有者は、特定のバージョンを削除したりバケットのバージョニング状態を変更したりするリクエストに、2 つの認証形式を含めることが必要になります。この機能は、組織にとって重要なデータを含むバケットに対して有効にすることをお勧めします。これにより、バケットやデータの偶発的な削除を防ぐことができます。

詳細については、以下のリソースを参照してください。

• Amazon S3 ドキュメントの MFA 削除の設定

VPC で Amazon OpenSearch Service ドメインを設定する

Amazon OpenSearch Service は、 でOpenSearchクラスターをデプロイ、運用、スケーリングするのに役立つマネージドサービスです AWS クラウド。Amazon OpenSearch Service は、 OpenSearchとレガシーElasticsearchオープンソースソフトウェア (OSS) をサポートしています。VPC 内にデプロイされた Amazon OpenSearch Service ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定により、転送中のデータへのアクセスが制限されるため、セキュリティ体制が向上します。Amazon OpenSearch Service ドメインをパブリックサブネットにアタッチせず、VPC をベストプラクティスに従って設定することをお勧めします。

詳細については、以下のリソースを参照してください。

• Amazon OpenSearch Service ドキュメントの VPC 内で Amazon OpenSearch Service ドメインを起動する OpenSearch

• AWS Config ドキュメントの opensearch-in-vpc-only

• OpenSearch ドメインは Security Hub ドキュメントの VPC にある必要があります

AWS KMS key 削除のアラートを設定する

AWS Key Management Service （AWS KMS) キーは、削除後に復元することはできません。KMS キーが削除された場合、そのキーで暗号化されたデータは完全に回復できません。データへのアクセスを保持する必要がある場合は、キーを削除する前に、データを復号するか、新しい KMS キーで再暗号化する必要があります。KMS キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。

誰かが KMS キーの削除を開始したときに通知する Amazon CloudWatch アラームを設定することをお勧めします。KMS キーの削除は破壊的で潜在的に危険であるため、 AWS KMS では待機期間を設定し、7～30 日以内に削除をスケジュールする必要があります。これにより、スケジュールされた削除を確認し、必要に応じてキャンセルすることができます。

詳細については、以下のリソースを参照してください。

• ドキュメントの AWS KMS キー削除のスケジュールとキャンセル

• AWS KMS ドキュメントの削除保留中の KMS キーの使用を検出するアラームの作成

• Security Hub ドキュメントでAWS KMS keys 意図せずに削除しないでください

へのパブリックアクセスをブロックする AWS KMS keys

キーポリシーは、 へのアクセスを制御するための主要な方法です AWS KMS keys。すべての KMS キーには、厳密に 1 つのキーポリシーが必要です。KMS キーへの匿名アクセスを許可すると、機密データの漏洩につながる可能性があります。これらのリソースに対する署名されていないリクエストが行われないように、パブリックにアクセス可能な KMS キーを特定し、それらのアクセスポリシーを更新することをお勧めします。

詳細については、以下のリソースを参照してください。

• AWS KMS ドキュメントの のセキュリティのベストプラクティス AWS Key Management Service

• AWS KMS ドキュメントのキーポリシーの変更

• AWS KMS ドキュメントの へのアクセスの確認 AWS KMS keys

セキュアプロトコルを使用するようにロードバランサーリスナーを設定する

Elastic Load Balancing は、受信アプリケーショントラフィックを複数のターゲットに自動的に分散します。1 つ以上のリスナーを指定することで、受信トラフィックを受け入れるようにロードバランサーを設定します。リスナーとは、設定したプロトコルとポートを使用して接続リクエストをチェックするプロセスです。ロードバランサーの各タイプは、さまざまなプロトコルとポートをサポートしています。

• Application Load Balancer は、アプリケーションレイヤーでルーティングを決定し、HTTP または HTTPS プロトコルを使用します。

• Network Load Balancer はトランスポートレイヤーでルーティングを決定し、TCP、TLS、UDP、または TCP_UDP プロトコルを使用します。

• Classic Load Balancer は、トランスポートレイヤー (TCP または SSL プロトコルを使用) またはアプリケーションレイヤー (HTTP または HTTPS プロトコルを使用) でルーティングを決定します。

常に HTTPS または TLS プロトコルを使用することをお勧めします。これらのプロトコルにより、ロードバランサーはクライアントとターゲット間のトラフィックを暗号化および復号化する必要があります。

詳細については、以下のリソースを参照してください。

• Elastic Load Balancing ドキュメントの Application Load Balancer のリスナー

• Elastic Load Balancing Load Balancing ドキュメントの Classic Load Balancer のリスナー

• Elastic Load Balancing Load Balancing ドキュメントの Network Load Balancer のリスナー

• AWS 規範ガイダンスのAWS 「ロードバランサーが安全なリスナープロトコルを使用していることを確認する」

• AWS Config ドキュメントの「elb-tls-https-listeners-only」

• Classic Load Balancer リスナーは、Security Hub ドキュメントの HTTPS または TLS 終了を使用して設定する必要があります

• Application Load Balancer は、Security Hub ドキュメントのすべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります。