でのスケーラブルな脆弱性管理プログラムの構築 AWS - AWS 規範ガイダンス
対象者目的

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのスケーラブルな脆弱性管理プログラムの構築 AWS

Anna McAbee and Megan O'Neil、Amazon Web Services (AWS)

2023 年 10 月 (ドキュメント履歴 )

使用している基盤となるテクノロジーに応じて、さまざまなツールやスキャンがクラウド環境でセキュリティ上の検出結果を生成できます。これらの検出結果を処理するプロセスがないと、プロセスの蓄積が始まり、短時間で何千から何万もの検出結果が発生することがよくあります。ただし、構造化された脆弱性管理プログラムとツールの適切な運用により、組織はさまざまなソースからの多数の検出結果を処理してトリアージできます。

脆弱性管理は、脆弱性の検出、優先順位付け、評価、修正、報告に重点を置いています。一方、パッチ管理 は、セキュリティの脆弱性を削除または修正するためのソフトウェアのパッチ適用または更新に重点を置いています。パッチ管理は脆弱性管理の一側面にすぎません。一般的に、パッチが適用された Amazon マシンイメージ patch-in-place (AMI)、コンテナ、またはソフトウェアパッケージをリリースするために、重要なパッチが適用されたシナリオに対応するmitigate-in-placeプロセス (プロセスとも呼ばれます) と、定期的に実行する標準プロセスの両方を確立することをお勧めします。 AMIs これらのプロセスは、組織がゼロデイ脆弱性に迅速に対応するための準備に役立ちます。本番環境の重要なシステムでは、フリート全体に新しい AMI をロールアウトするよりもプロセスを使用する方が patch-in-place 高速で信頼性が高くなります。オペレーティングシステム (OS) やソフトウェアパッチなど、定期的にスケジュールされているパッチについては、ソフトウェアレベルを変更する場合と同様に、標準の開発プロセスを使用して構築およびテストすることをお勧めします。これにより、標準動作モードの安定性が向上します。の一機能である Patch Manager AWS Systems Manager、またはその他のサードパーティー製品を patch-in-place ソリューションとして使用できます。Patch Manager の使用の詳細については、「 クラウド導入フレームワーク: オペレーションのパースペクティブ」の「パッチ管理」を参照してください。 AWS また、EC2 Image Builder を使用して、カスタマイズされた および up-to-date サーバーイメージの作成、管理、デプロイを自動化することもできます。

でスケーラブルな脆弱性管理プログラムを構築する AWS には、クラウド設定リスクに加えて、従来のソフトウェアとネットワークの脆弱性を管理する必要があります。暗号化されていない Amazon Simple Storage Service (Amazon S3) バケットなどのクラウド設定リスクは、ソフトウェアの脆弱性と同様のトリアージおよび修復プロセスに従う必要があります。どちらの場合も、アプリケーションチームは、基盤となるインフラストラクチャを含むアプリケーションのセキュリティを所有し、説明責任を負う必要があります。この所有権の分布は、効果的でスケーラブルな脆弱性管理プログラムにとって重要です。

このガイドでは、全体的なリスクを軽減するために脆弱性の特定と修復を効率化する方法について説明します。以下のセクションを使用して、脆弱性管理プログラムを構築して反復します。

  1. 準備 — 環境の脆弱性を特定、評価、修正するための人材、プロセス、テクノロジーを準備します。

  2. トリアージと修復 — セキュリティの検出結果を関連する利害関係者にルーティングし、適切な修復アクションを特定し、修復アクションを実行します。

  3. 報告と改善 — 報告メカニズムを使用して改善の機会を特定し、脆弱性管理プログラムを反復処理します。

クラウド脆弱性管理プログラムの構築には、多くの場合、反復が含まれます。このガイドのレコメンデーションに優先順位を付け、定期的にバックログを見直して、テクノロジーの変化とビジネス要件を常に把握してください。

対象者

このガイドは、セキュリティ関連の検出結果を担当する 3 つの主要チームを持つ大企業を対象としています。セキュリティチーム、Cloud Center of Excellence (CCoE) またはクラウドチーム、アプリケーション (または開発者) チームです。このガイドでは、最も一般的なエンタープライズ運用モデルを使用し、それらの運用モデルに基づいて構築することで、セキュリティ上の検出結果に効率的に対応し、セキュリティ上の成果を向上させます。を使用する組織 AWS では、構造や運用モデルが異なる場合がありますが、このガイドの概念の多くは、運用モデルや小規模な組織に合わせて変更できます。

目的

このガイドは、ユーザーと組織に役立ちます。

  • 脆弱性管理を合理化し、説明責任を確保するためのポリシーを策定する

  • セキュリティの責任をアプリケーションチームに配布するメカニズムを確立する

  • スケーラブルな脆弱性管理のベストプラクティス AWS のサービス に従って、関連する を設定する

  • セキュリティ検出結果の所有権を分散する

  • 脆弱性管理プログラムについて報告し、反復するメカニズムを確立する

  • セキュリティ検出結果の可視性を向上させ、全体的なセキュリティ体制を改善する