AWS セキュリティサービスを採用するための決定木 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS セキュリティサービスを採用するための決定木

次の図は、組織が AWS セキュリティサービスを採用する必要があるかどうかを評価するために使用できる決定木を示しています。ディシジョンツリーは、会社のコンテキストAWS セキュリティサービス評価の 2 つのセクションに分かれています。最初のセクションである会社コンテキストは、現在のコントロールまたはソリューションが存在する場合、それを評価するように設計されています。現在のソリューションがない場合、または現在のコントロールまたはソリューションがビジネスまたは技術要件を満たしていない場合は、AWS セキュリティサービス評価の 2 番目のセクションに進みます。AWS セキュリティサービス評価セクションでは、 が AWS のサービス これらの要件を満たしているかどうかを判断します。

AWS セキュリティサービスを採用するための決定木

現在のセキュリティコントロールまたはソリューションを評価するための企業コンテキスト

このセクションでは、現在のコントロールまたはソリューションを評価して、それが組織のビジネスおよび技術要件を満たしていることを確認します。コントロールまたはソリューションがない場合は、 AWS セキュリティサービスを評価し、AWS セキュリティサービス評価セクションに直接スキップする必要があります。

1.1 コンプライアンス、セキュリティ、またはプライバシーの義務は守られていませんか?

組織は、データのセキュリティとプライバシーに関する法律および規制の対象となります。これらの義務に違反すると、重大な結果が生じる可能性があります。会社がコンプライアンス、セキュリティ、またはプライバシーの要件を満たせない場合は、 AWS セキュリティサービスを評価する必要があります。

1.2 対処されていない高リスクがありますか?

組織は、環境内の重大なセキュリティリスクを特定して管理する必要があります。高リスクには、潜在的なデータ侵害、システムの脆弱性、運用の中断、またはその他の重大なセキュリティ上の懸念が含まれる可能性があります。現在のソリューション (またはソリューションがない場合) でこれらの高リスクを適切に軽減できない場合は、 AWS セキュリティサービスの評価に進みます。

1.3 手動またはエラーが発生しやすいソリューションはありますか?

手動ステップまたは人間による操作を必要とするソリューションは、エラーが発生しやすくなります。これらのシナリオでは、不整合、低データ信頼性、非準拠のアセット、スケーラビリティの欠如が一般的です。自動コントロールは、IT システムとワークロードにとって根本的に重要です。現在のソリューションが完全な自動化をサポートしていない場合は、 AWS セキュリティサービスの評価を検討してください。

1.4 管理、俊敏性、スケーラビリティの問題に直面していますか?

管理に関連する問題をマッピングすることが重要です。以下にいくつかの例を示します。さまざまなアセットの互換性管理の欠如、ソリューションがすべてのデバイスを対象とするわけではありません。更新中のエラーや中断、本番環境のパフォーマンスへの悪影響。このソリューションは、チームが強力なセキュリティ体制からイノベーションできるように、俊敏性を提供する必要があります。急激なビジネス成長を実現するには、スケーラビリティをサポートする必要があります。管理、可用性、スケーリングの問題がある場合は、 AWS セキュリティサービスを評価する必要があります。

1.5 総所有コストは高いですか?

コストを業界のベンチマークや内部メトリクスと比較することで、現在のセキュリティソリューションの総所有コスト (TCO) を評価します。通常、組織は IT 予算の 6~14% をサイバーセキュリティに投資し、10% が平均です。アセットを保護するためのライセンス、実装、メンテナンス、サポート、運用コストなどの要素を考慮してください。保護する同じ数のアセットをカバーする内部ツールを含めることができます。ツールの不均衡なセキュリティ予算は、予算の 60% が単一のツールに向けられている場合など、高い TCO を示している場合もあります。TCO がこれらのベンチマークよりも高い場合は、 AWS セキュリティサービスの評価に進みます。

AWS セキュリティサービスの評価

技術実証 (POT) は概念実証に似ています。POT の目的は、技術的な問題に対する潜在的な解決策が実行可能かどうかを判断することです。例えば、POT を使用して、特定の設定が特定の結果を達成できることを証明できます。このセクションでは、POT を使用して、特定の AWS セキュリティサービスがビジネスおよび技術要件を満たしているかどうかを評価し、デモンストレーションします。

AWS セキュリティリファレンスアーキテクチャ (AWS SRA) は、マルチアカウント環境に AWS セキュリティサービスの完全な補完をデプロイするための規範的なガイダンスを提供します。このアーキテクチャは、POT 評価の計画と実行に役立ちます。

この決定ガイドは、最新のサービスを含むすべての AWS セキュリティサービスに適用されます。サービスのup-to-dateリストと現在のベストプラクティスについては、AWS クラウド 「 セキュリティ」を参照してください。

2.1 AWS セキュリティサービスは、コンプライアンス、セキュリティ、またはプライバシーの義務に対応していますか?

AWS セキュリティサービスは、現在のソリューションが対処していないコンプライアンス、セキュリティ、プライバシーの義務に対処する必要があります。セキュリティとコンプライアンスの証明書とレポートについては AWS 、「」を参照してくださいAWS Artifact。さらに、 AWS のサービス ドキュメントを使用してカバレッジを検証することもできます。

2.2 AWS セキュリティサービスはリスクを軽減するのに役立ちますか?

リスク管理は、企業を多くの脅威から保護するための重要な要素です。サービスの導入の決定は、組織内の 1 つ以上の高リスクの軽減に直接関係している可能性があります。 AWS セキュリティサービスは、リスク選好度とビジネスコンテキストに基づいて、リスクを許容可能なレベルに軽減する必要があります。

2.3 POT はセキュリティサービスの有効性を示していますか?

AWS セキュリティサービスの有効性は、各セキュリティサービスのさまざまなメトリクスに従って、POT を通じて実証する必要があります。例えば、POT は、サービスが脅威インテリジェンスアルゴリズムを通じてセキュリティ脅威を迅速に検出して対応できることを検証する場合があります。が数分以内に検出した脅威と、自動通知と修復が正常に実行されたことを確認することで、成功を評価することができます。脆弱性管理サービスでは、以下に基づいて有効性を評価することができます。

  • 検出された脆弱性の数

  • パッチと更新の適用の成功率はどれくらいですか?

  • ウェブ保護のために、攻撃的なセキュリティチーム (レッドチームとも呼ばれます) によって実行されたクロスサイトスクリプティング (XSS) 攻撃と SQL 挿入攻撃はすぐにブロックされましたか?

AWS プロフェッショナルサービスとAWS パートナーは、この POT 評価でお客様をサポートできます。

2.4 TCO は現在のコントロールまたはソリューションより低いですか?

TCO を減らすことで、組織のコストを最適化できます。これらの比較で使用される一般的なメトリクスには、取得と実装のコスト、固定費と変動費、運用コスト、メンテナンスとサポートのコスト、拡張と信頼性のコスト、トレーニングのコストなどがあります。特定のユースケースに基づいて実行できるその他のコスト測定と比較があります。AWS 料金見積りツールは、 のコストを見積もるのに役立ちます AWS のサービス。さらに、 AWS 無料利用枠 および 無料証跡の製品を使用して、多くの を評価できます AWS のサービス。詳細については、「 無料 AWS クラウド セキュリティトライアル」を参照してください。

2.5 トレードオフの決定

トレードオフの決定には、特にサービスの有効性と TCO の考慮事項など、複数の要因のバランスを取る必要があります。正確な計算や明確な判断ができない場合は、利点と制限の全体的なバランスを評価します。

ポジティブバランスは、要因が競合しているように見える場合でも発生する可能性があります。たとえば、サービスによってコストは増加しますが、スケーラビリティは向上します。これは、改善された有効性が追加コストを正当化するポジティブバランスを表します。逆に、サービスが大幅なコスト削減を提供している場合でも、機能の削減は許容されない場合があります。

利用可能なすべての情報のバランスを取り、全体的な肯定的または否定的な結果を決定する必要があります。この分析に基づいて、トレードオフを決定できます。