SEC04-BP04 非準拠リソースの修復を開始する - AWS Well-Architected Framework
実装のガイダンスリソース

SEC04-BP04 非準拠リソースの修復を開始する

発見的統制は、構成要件に準拠していないリソースについて警告する場合があります。プログラムで定義された修復を手動または自動で開始して、該当するリソースを修正し、潜在的な影響を最小限に抑えることができます。プログラムで修復手順を定義しておくと、迅速に一貫した対応をすることができます。

自動化によってセキュリティの運用を強化できますが、自動化の実装と管理は慎重に行う必要があります。 適切な監視と統制のメカニズムを導入して、自動対応が効果的かつ正確であり、組織の方針やリスクアペタイトに合致していることを検証します。

期待される成果: リソース構成の標準を定義し、リソースが非準拠であることが検出された場合の修復手順も定義します。可能な場合は、修復手順をプログラムで定義して、手動または自動で開始できるようにしておきます。検知システムが導入されていて、このシステムが非準拠リソースを検知して、セキュリティ担当者が監視している一元管理ツールにアラートを発行します。これらのツールは、プログラムによる修復の手動実行または自動実行に対応しています。自動修復については、適切な監視と統制のメカニズムが導入され、その使用が管理されています。

一般的なアンチパターン:

  • 自動化を実装しているが、修復アクションを徹底的にテストおよび検証できていない。正当な事業運営が中断されたり、システムが不安定になるなど、意図しない結果が生じる可能性があります。

  • 自動化によって応答時間と手続きは改善されたが、適切な監視や、必要に応じて人間が介入して判断できるメカニズムが欠如している。

  • 修復だけに頼り、インシデント対応および復旧プログラムという広い枠組みの中に修復を組み込んでいない。

このベストプラクティスを活用するメリット: 自動修復は、手動プロセスよりも迅速に構成ミスに対応できるため、潜在的なビジネスへの影響が最小限に抑えられ、意図しない使用の可能性が低くなります。 修復をプログラムで定義しておけば、一貫して適用されるため、人為的ミスのリスクが軽減されます。また、自動化により大量のアラートを同時に処理することもできます。これは、大規模な運用環境では特に重要です。 

このベストプラクティスが確立されていない場合のリスクレベル:

実装のガイダンス

SEC01-BP03 管理目標を特定および検証する:」で説明したように、AWS Config などのサービスは、アカウント内のリソースの構成が要件に準拠しているかどうかを監視するのに役立ちます。 非準拠のリソースが検出された場合は、クラウドセキュリティ体制の管理 (CSPM) ソリューション (AWS Security Hub など) にアラートを送信するように設定し、修正に役立てることをお勧めします。これらのソリューションは、セキュリティ調査員が問題を監視して是正措置を講じるための中心的な場所となります。

非準拠リソースの中には、状況が独特で修復には人間の判断が必要となる場合がありますが、プログラムで定義できる標準的な対応で間に合う状況もあります。例えば、VPC セキュリティグループが誤って設定されている場合、標準的な対応として、許可されていないルールを削除して所有者に通知することができます。応答は、AWS Lambda 関数や AWS Systems Manager Automation ドキュメントで定義するか、任意の他のコード環境で定義できます。是正措置を行うために必要最低限のアクセス許可しか持たない IAM ロールを使用して、その環境を AWS に対して認証できるようにしてください。

必要な修復手順を定義したら、その修復を開始する希望の方法を決定できます。AWS Config は修復を自動で開始できます。Security Hub を使用している場合は、この目的でカスタムアクションを使用し、検出結果の情報を Amazon EventBridge に公開できます。それを受けて、EventBridge ルールで修復を開始できます。Security Hub でカスタムアクションを自動または手動で実行するように設定できます。 

プログラムによる修復では、実行されたアクションとその結果について包括的なログ記録と監査を行うことをお勧めします。 これらのログを確認および分析して、自動化プロセスの有効性を評価し、改善すべき部分を特定します。ログは Amazon CloudWatch Logs に記録し、修復結果は Security Hub に検出結果メモとして記録します。

手始めに、AWS での自動化されたセキュリティ対応を検討してください。よくあるセキュリティの構成ミスを解決する修復機能が事前に組み込まれています。

実装手順

  1. アラートを分析して優先順位を付けます。

    1. さまざまな AWS サービスから届くセキュリティアラートを Security Hub に統合して、可視化、優先順位付け、修復を一元的に行います。

  2. 修復手順を考案します。

    1. Systems Manager や AWS Lambda などのサービスを使用して、プログラムによる修復を実行します。

  3. 修復の開始方法を設定します。

    1. Systems Manager を使用して、検出結果を EventBridge に公開するカスタムアクションを定義します。これらのアクションを手動または自動で開始するように設定します。

    2. また、Amazon Simple Notification Service (SNS) を使用して、関連するステークホルダー (セキュリティチームやインシデント対応チームなど) に通知やアラートを送信し、必要に応じて手動による介入やエスカレーションを行うこともできます。

  4. 修復ログを確認して分析し、有効性と改善点を検討します。

    1. ログ出力を CloudWatch Logs に送信します。結果を Security Hub に検出結果メモとして記録します。

リソース

関連するベストプラクティス:

関連するドキュメント:

関連する例:

関連ツール: