SEC01-BP04 セキュリティ上の脅威と推奨事項を常に把握する

業界の脅威インテリジェンスの公開情報やデータフィードが更新されていないか監視して、脅威や緩和策の最新情報を常に把握します。最新の脅威データに基づいて自動更新されるマネージドサービスを評価してください。

期待される成果: 業界で最新の脅威や推奨事項が公表されると同時にそれらを把握できます。 自動化を活用して、新たな脅威を特定した時点で、潜在的な脆弱性やエクスポージャを検出します。これらの脅威に対して緩和措置を講じます。 最新の脅威インテリジェンスで自動的に更新される AWS サービスを採用します。

一般的なアンチパターン:

• 最新の脅威インテリジェンスを常に把握するための、信頼性と再現性が高いメカニズムがない。

• テクノロジーポートフォリオ、ワークロード、依存関係の手動インベントリを保持していて、潜在的な脆弱性やエクスポージャについて人間がレビューする必要がある。

• ワークロードと依存関係を、既知の脅威に対する緩和策が盛り込まれた最新バージョンに更新するメカニズムが導入されていない。

このベストプラクティスを活用するメリット: 脅威インテリジェンスの情報源から最新の情報を入手することで、脅威の分野における重要な変化を見落としてビジネスに影響を及ぼすリスクを避けることができます。 ワークロードやその依存関係をスキャンして、脆弱性やエクスポージャが潜んでいる箇所を検出および修正するための自動化体制が整い、手動での代替手段と比較して、リスクを迅速かつ予測どおりに軽減できます。 これにより、脆弱性の緩和に関連する時間やコストを抑えることができます。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

信頼できる脅威インテリジェンスの公開情報を確認して、脅威の状況を常に把握してください。 既知の攻撃者の戦術、手法、手順に関するドキュメントについては、MITREATT&CK ナレッジベースを参照してください (TTPs）。MITREの共通脆弱性と露出 (CVE) リストを確認して、依存する製品の既知の脆弱性について常に把握してください。Open Worldwide Application Security Project (OWASP) の人気OWASP上位 10 プロジェクトを使用して、ウェブアプリケーションに対する重大なリスクを理解します。

Security Bulletins for では、 AWS AWS セキュリティイベントと推奨される修復手順に関する最新情報を入手できますCVEs。

最新の状態を維持する全体的な労力とオーバーヘッドを減らすには、時間の経過とともに新しい脅威インテリジェンスを自動的に組み込む AWS サービスの使用を検討してください。 例えば、Amazon GuardDuty は、アカウント内の異常な動作や脅威署名を検出するための業界の脅威インテリジェンスを常に把握しています。 Amazon Inspector は、継続的なスキャン機能CVEsに使用する のデータベースを自動的に最新の状態に保ちます。 AWS WAF と AWS Shield Advanced はどちらも、新しい脅威が登場すると自動的に更新されるマネージドルールグループを利用しています。

フリートの自動管理とパッチ適用については、「運用上の優秀性の柱 – AWS Well-Architected フレームワーク」を参照してください。

実装手順

• ビジネスや業界に関連する脅威インテリジェンスの最新公開情報を購読します。 AWS セキュリティ速報を購読します。

• Amazon GuardDuty や Amazon Inspector などの新しい脅威インテリジェンスを自動的に組み込んだサービスの導入を検討してください。

• Well-Architected 運用上の優秀性の柱のベストプラクティスに沿って、フリート管理とパッチ適用の戦略をデプロイします。

リソース

関連するベストプラクティス:

• SEC01-BP07 脅威モデルを使用して脅威を特定し、緩和策に優先順位を付ける

• OPS01-BP05 脅威の状況を評価する

• OPS11-BP01 継続的改善のプロセスがある