セキュリティ基盤 - AWS 規範ガイダンス
セキュリティ機能セキュリティ設計原則AWS CAF と AWS Well-Architected Framework AWSSRAで を使用する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ基盤

AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるために、簡単なアンケートに回答してください。

AWS セキュリティリファレンスアーキテクチャは、AWSクラウド導入フレームワーク (AWS CAF)、 AWS Well-Architected フレームワーク、 責任AWS共有モデルという 3 つのAWSセキュリティ基盤と一致しています。

AWS 企業がクラウド導入を成功させるための迅速な道を設計し、それに従うAWSCAFのに役立つように作成されたプロフェッショナルサービス。フレームワークが提供するガイダンスとベストプラクティスは、お客様の企業全体および IT ライフサイクル全体にわたるクラウドコンピューティングに対する包括的なアプローチを構築するのに役立ちます。は、視点と呼ばれる 6 つの重点分野にガイダンスをAWSCAF整理します。 それぞれの視点は、機能に関連する利害関係者が所有または管理する明確な責任をカバーしています。一般に、ビジネス、人材、ガバナンスの視点はビジネス能力に重点を置き、プラットフォーム、セキュリティ、オペレーションの視点は技術的能力に焦点を当てています。

  • のセキュリティの観点からAWSCAFは、ビジネス全体のコントロールの選択と実装を構築するのに役立ちます。セキュリティの柱で現在の AWS レコメンデーションは、お客様のビジネスや規制要件を満たすために役立ちます。 

AWS Well-Architected フレームワークは、クラウドアーキテクトがアプリケーションとワークロードのための安全で高性能、耐障害性、効率性の高いインフラストラクチャを構築するのに役立ちます。このフレームワークは、運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化、持続可能性という 6 つの柱に基づいており、AWSお客様とパートナーがアーキテクチャを評価し、時間の経過とともにスケールできる設計を実装するための一貫したアプローチを提供します。私たちは、well-architected ワークロードを設計することで、ビジネスの成功の可能性が大幅に高まると考えています。

  • Well-Architected フレームワークのセキュリティの柱では、クラウドテクノロジーを活用して、セキュリティ体制を改善できる方法でデータ、システム、アセットを保護する方法について説明します。現在の AWS レコメンデーションに従うことで、お客様のビジネスやレコメンデーションを満たすことに役立ちます。Well-Architected フレームワークには、ガバナンス、サーバーレス、AI/ML、ゲームなど、特定のドメインのコンテキストをより詳細に説明する重点領域が他にもあります。これらは AWS Well-Architected レンズと呼ばれます。 

セキュリティとコンプライアンスは AWS と顧客の間で責任を共有します。この共有モデルは、ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理セキュリティまで、様々なコンポーネントを AWS が運用、管理、およびコントロールするのでお客様の運用上の負担を軽減できます。例えば、ゲストオペレーティングシステム (アップデートやセキュリティパッチを含む) 、アプリケーションソフトウェア、サーバー側のデータの暗号化、ネットワークトラフィックルートテーブル、および AWS セキュリティグループファイアウォールに提供される設定に関する責任と管理はお客様に任されます。(Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB など) の抽象化されたサービスの場合、AWS は、インフラストラクチャ層、オペレーティングシステム、およびプラットフォームを操作し、お客様がエンドポイントにアクセスしてデータを格納および取得します。データ (暗号化オプションを含む) の管理、アセットの分類、AWSIdentity and Access Management (IAM) ツールを使用した適切なアクセス許可の適用は、お客様の責任となります。この共有モデルは、多くの場合、次のように記述されます。AWS はクラウド セキュリティ (つまり、AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャを保護する) に責任があり、そしてお客様が選択する AWS クラウドサービスによって決定されるクラウド での セキュリティに責任があります。  

これらの基本的なドキュメントで提供されるガイダンスでは、 の設計と理解に特に関連する概念として、セキュリティ機能とセキュリティ設計原則SRAの 2 AWS つのセットがあります。

セキュリティ機能

のセキュリティの観点からは、データとクラウドワークロードの機密性、完全性、可用性を実現するのに役立つ 9 つの機能AWSCAFの概要を示しています。

  • セキュリティガバナンスは、組織のAWS環境全体でセキュリティのロール、責任、ポリシー、プロセス、手順を開発して伝達します。

  • セキュリティとプライバシープログラムの有効性を監視、評価、管理、改善するためのセキュリティ保証

  • ID とアクセスの管理。ID とアクセス許可を大規模に管理します。

  • 潜在的なセキュリティ設定ミス、脅威、または予期しない動作を理解して特定するための脅威検出

  • セキュリティの脆弱性を継続的に特定、分類、修正、軽減するための脆弱性管理

  • ワークロード内のシステムとサービスが保護されていることを確認するのに役立つインフラストラクチャ保護

  • データの可視性と制御、および組織内でのデータのアクセスと使用方法を維持するためのデータ保護

  • ソフトウェア開発プロセス中にセキュリティの脆弱性を検出して対処するのに役立つアプリケーションセキュリティ

  • セキュリティインシデントに効果的に対応することで潜在的な損害を軽減するためのインシデント対応。

セキュリティ設計原則

Well-Architected フレームワークのセキュリティの柱は、特定のセキュリティ領域をワークロードのセキュリティ強化に役立つ実用的なガイダンスに変換する 7 つの設計原則のセットをキャプチャします。セキュリティ機能が全体的なセキュリティ戦略を構成する場合、これらの Well-Architected フレームワークの原則は、開始できることを記述します。これらは、この に非常に意図的に反映AWSSRAされ、以下で構成されます。

  • 強力なアイデンティティ基盤を実装する — 最小特権の原則を実装し、お客様の AWS リソースのやり取りごとに適切な承認を得て職務の分離を強制します。アイデンティティ管理を一元化し、長期的な静的認証情報への依存を排除することを目指します。

  • トレーサビリティを有効にする - お客様の環境に対するアクションと変更をリアルタイムで監視、アラートを生成し、監査します。ログとメトリクスの収集をシステムと統合して、自動的に調査してアクションを実行します。

  • すべてのレイヤーにセキュリティを適用する – 複数のセキュリティコントロールでアプローチを適用 defense-in-depthします。ネットワークエッジ、仮想プライベートクラウド ()、ロードバランシング、インスタンスおよびコンピューティングサービス、オペレーティングシステム、アプリケーション設定、コードなど、複数のタイプのコントロール (予防コントロールや検出コントロールなどVPC) をすべてのレイヤーに適用します。

  • セキュリティのベストプラクティスの自動化 – 自動化されたソフトウェアベースのセキュリティメカニズムにより、より迅速かつコスト・パフォーマンスに優れた方法でお客様は安全に拡張できます。セキュアなアーキテクチャを作成し、バージョン管理テンプレートでコードとして定義および管理されるコントロールを実装します。

  • 転送中および保管時のデータを保護 – お客様のデータを機密レベルに分類し、必要に応じて暗号化、トークン化、アクセス制御などのメカニズムを使用します。

  • データから遠ざける – メカニズムとツールを使用して、データに直接アクセスしたり手動で処理したりする必要性を軽減または排除します。これにより、機密データを扱う際の誤処理や変更、人的ミスのリスクが軽減されます。

  • セキュリティイベントに備える – インシデント管理と調査のポリシーとプロセスを組織の要件に合わせて設定することで、インシデントに備えます。インシデント対応シミュレーションを実行し、ツールと自動化により、検出、調査、復旧のスピードを上げます。

AWS CAF と AWS Well-Architected Framework AWSSRAで を使用する方法

AWS CAF、 AWS Well-Architected フレームワーク、 AWSSRAは、クラウド移行とモダナイゼーションの取り組みをサポートするために連携する補完的なフレームワークです。

  • AWS CAF はAWS、経験とベストプラクティスを活用して、クラウド導入の価値を望ましいビジネス成果に合わせるのに役立ちます。AWS CAF を使用して、トランスフォーメーションの機会の特定と優先順位付け、クラウドの準備状況の評価と改善、トランスフォーメーションロードマップの反復的な進化を行います。

  • AWS Well-Architected フレームワークは、ビジネス成果を満たすさまざまなアプリケーションやワークロード向けに、安全で高性能、回復力があり効率的なインフラストラクチャを構築するためのAWSレコメンデーションを提供します。

  • は、 および AWS Well-Architected フレームワークの推奨事項に沿った方法でセキュリティサービスをデプロイAWSCAFおよび管理する方法を理解するAWSSRAのに役立ちます。

例えば、AWSCAFセキュリティの観点からは、 でワークフォース ID とその認証を一元管理する方法を評価することをお勧めしますAWS。この情報に基づいて、Okta、Active Directory、または Ping Identity などの新規または既存の企業 ID プロバイダー (IdP) ソリューションをこの目的で使用する場合があります。AWS Well-Architected フレームワークのガイダンスに従い、IdP を AWS IAM Identity Center と統合して、従業員に対してグループのメンバーシップとアクセス許可を同期できるシングルサインオンエクスペリエンスを提供することにしました。AWS 組織の管理アカウントで IAM Identity Center を有効にし、セキュリティ運用チームが使用するセキュリティツールアカウントを通じて管理するためのAWSSRA推奨事項を確認します。この例は、希望するセキュリティ体制に関する最初の意思決定にどのようにAWSCAF役立つかを示し、 AWS Well-Architected フレームワークは、その目標を達成するために利用可能な AWSサービスを評価する方法に関するガイダンスを提供し、 AWS SRA は選択したセキュリティサービスをデプロイして管理する方法についての推奨事項を提供します。