インシデントに対応するためのセキュリティレコメンデーション

組織でセキュリティイベントが発生した場合、ユーザーは問題に対処する準備ができている必要があります。すべてのユーザーは、組織のセキュリティ対応プロセスの基本を理解している必要があります。インシデント対応プログラムを成功させるには、計画、トレーニング、経験が不可欠です。理想的には、潜在的なセキュリティイベントが発生する前に組織を準備することです。 AWS Well-Architected フレームワークは、クラウドでのインシデント対応プログラムを成功させるために必要な、準備、運用、インシデント後のアクティビティの 3 つの基盤を特定します。詳細については、「 Well-Architected フレームワーク」の AWS 「インシデント対応の側面」を参照してください。 AWS

イベントについて通知するか、イベントに自動的に応答するセキュリティコントロールを除き、インシデント対応のために確立できるコントロールは限られています。強力なインシデント対応体制は、主に組織で使用する計画、プロセス、ランブック、プレイブック、トレーニングプログラムを通じて確立されます。このセクションのコントロールと推奨事項を使用して、インシデント対応プログラムのベストプラクティスを実装できます。インシデント対応のベストプラクティスと実装ガイダンスの詳細については、 AWS Well-Architected フレームワークの「インシデント対応」を参照してください。

インシデント対応計画を定義する

明確に定義されたインシデント対応計画 (IRP) を確立します。インシデント対応計画は、インシデント対応プログラムの基盤となるように設計されています。この計画は、各組織のニーズに合わせてカスタマイズする必要があります。

詳細については、以下のリソースを参照してください。

• 「 セキュリティインシデント対応ガイド」の「インシデント対応計画の策定とテストAWS 」

• AWS Well-Architected フレームワークでインシデント管理計画を作成する

• AWS Well-Architected フレームワークの主要な担当者と外部リソースを特定する

インシデント対応ランブックとプレイブックの作成と保守

インシデント対応プロセスの準備の重要な部分は、プレイブックの開発です。インシデント対応プレイブックには、セキュリティイベントが発生したときにユーザーが従う一連の推奨ステップが用意されています。構造と手順を明確にすることで、レスポンスが簡素化され、人為的ミスの可能性が軽減されます。

詳細については、以下のリソースを参照してください。

• 「 セキュリティインシデント対応ガイド」の「 のプレイブックを作成する方法AWS 」

• でのAWS インシデント対応プレイブックのサンプル GitHub

• AWS Well-Architected フレームワークでセキュリティインシデント対応プレイブックを開発してテストする

イベント駆動型セキュリティオートメーションを実装する

セキュリティレスポンスの自動化は、セキュリティイベントに自動的に応答または修正するように設計された、事前定義されたプログラムされたアクションです。これらの自動化は、セキュリティのベストプラクティスを実装するのに役立つ検出的または応答的な AWS セキュリティコントロールとして機能します。自動レスポンスアクションの例としては、VPC セキュリティグループの変更、Amazon EC2 インスタンスへのパッチ適用、認証情報の更新などがあります。

多くの は自動応答 AWS のサービス をサポートしています。例えば、特定のメトリクスに対して Amazon CloudWatch アラームを設定し、アラームの状態が変わったときにアラームがアクションを開始できます。Amazon EventBridge を使用して、 および Amazon Inspector の検出結果の自動応答 AWS Security Hub と修復を設定することもできます。

詳細については、以下のリソースを参照してください。

• セキュリティブログの Amazon Inspector のセキュリティ検出結果を自動的に修正する AWS

• セキュリティブログの「 でセキュリティレスポンスの自動化を開始する AWS AWS 」

• AWS ソリューションライブラリの に対する自動セキュリティレスポンス AWS

• Amazon CloudWatch ドキュメントの Amazon CloudWatch アラームの使用 CloudWatch

• Security Hub ドキュメントの自動対応と修復

• Amazon Inspector ドキュメントの Amazon EventBridge を使用した Amazon Inspector の検出結果へのカスタムレスポンスの作成 Amazon Inspector

運用チームが と連携する方法を文書化する サポート

では AWS アカウント、プライマリ連絡先と 3 つの代替連絡先を定義できます。各 AWS アカウント または組織のセキュリティ連絡先を指定することをお勧めします。

AWS サポート は、 AWS ソリューションの成功と運用の健全性をサポートできるツールと専門知識へのアクセスを提供するさまざまなプランを提供します。また、組織が サポート プラン AWS Managed Services の代わりに を使用することのメリットがあるかどうかを検討してください。 AWS Managed Services (AMS) は、モニタリング、インシデント管理、セキュリティガイダンス、パッチサポート、 AWS ワークロードのバックアップなど、 AWS インフラストラクチャを継続的に管理することで、より効率的かつ安全に運用するのに役立ちます。AMS サポートモデルは、クラウド運用チームに限られたリソースを持つ組織に適しています。これらのモデルと計画を比較して、組織のユースケースとクラウド成熟度レベルに最適なものを選択することをお勧めします。

詳細については、以下のリソースを参照してください。

• AWS 「 セキュリティインシデント対応ガイド」の「対応チームとサポート」を理解する AWS

• AWS アカウント管理ガイドの の代替連絡先を更新する AWS アカウント

• AWS ウェブサイトで計画を比較する サポート

• AWS 規範ガイダンスの目標ビジネス成果を達成するために AWS Managed Services を使用する戦略

セキュリティイベントのアラートを設定する

異常の検出は、その異常を制御するために実装される対策と同じくらい重要です。アラートは、検出フェーズの主要コンポーネントです。目的の AWS アカウント アクティビティに基づいてインシデント対応プロセスを開始する通知を生成します。アラートに、チームがアクションを実行するための関連情報が含まれていることを確認します。

詳細については、以下のリソースを参照してください。

• AWS セキュリティインシデント対応ガイドの検出

• AWS Well-Architected フレームワークでフォレンジック機能を準備する

• AWS Well-Architected フレームワークで実用的なセキュリティイベントを実装する