データ保護
システムを設計する前に、セキュリティに影響を与える基本的なプラクティスを実施する必要があります。例えば、データ分類は組織のデータを機密性レベルに基づいてカテゴリーに分類し、暗号化は認証されていないアクセスに対してデータが開示されてしまうことを防ぎます。これらのツールやテクニックは、金銭的な損失の予防や規制遵守という目的を達成するためにも重要です。
AWS では、以下の取り組みによりデータの保護に努めています。
-
AWS ユーザーとして、お客様はご自身のデータを完全に管理することができます。
-
AWS では、データの暗号化や定期的な鍵のローテーションなど、鍵の管理を AWS で簡単に自動化したり、お客様自身でメンテナンスすることができます。
-
ファイルのアクセスや変更など、重要なコンテンツを含む詳細なログを記録できます。
-
AWS には優れた回復力を持つストレージシステムを設計しています。たとえば、Amazon S3 S3 Standard、S3 Standard–IA、S3 One Zone-IA、Amazon Glacier はすべて、1 年間にオブジェクトの 99.999999999% の堅牢性を実現するよう設計されています。この堅牢性レベルは、オブジェクトの予想される年平均損失の 0.000000001% に相当します。
-
大規模データライフサイクル管理プロセスの一部であるバージョニングにより、間違って上書きしたり削除したりしてデータが損なわれることを防ぎます。
-
AWS ではリージョン間のデータの移動は発生しません。1 つのリージョンにあるコンテンツは、リージョン間の移動を可能にする機能を明示的に有効にしたり、その機能を提供するサービスを使用したりしない限りは、そのリージョンにとどまります。
以下の質問は、セキュリティに関する考慮事項に焦点を当てています。
| SEC 7: データをどのように分類すればよいですか? |
|---|
| 分類方法を確立すると、重要度と機密性に基づいてデータをカテゴリ別に分類して、各カテゴリに適した保護と保持方法でデータを管理できるようになります。 |
| SEC 8: 保管中のデータはどのように保護するのですか? |
|---|
| 複数のコントロールを実装して保管中のデータを保護し、不正アクセスや不正処理のリスクを低減します。 |
| SEC 9: 転送中のデータはどのように保護するのですか? |
|---|
| 複数のコントロールを実装して、転送中のデータを保護し、不正アクセスや損失のリスクを軽減します。 |
AWS には、保存中および伝送中のデータを暗号化する手段が複数あります。データの暗号化を容易にする機能を各サービスに搭載しています。たとえば、Amazon S3 にはサーバー側の暗号化 (SSE) を実装しているため、簡単にデータを暗号化して保存することができます。HTTPS の暗号化と復号化のプロセス全体 (一般に SSL termination として知られているプロセス) を、Elastic Load Balancing (ELB) によって処理されるように調整することもできます。
