OPS01-BP04 脅威の状況を評価する - 運用上の優秀性の柱
実装のガイダンスリソース

OPS01-BP04 脅威の状況を評価する

ビジネスに対する脅威 (競合、ビジネスリスクと負債、運用リスク、情報セキュリティの脅威など) を評価し、リスクのレジストリで現在の情報を維持します。注力する場所を決定する際に、リスクの影響を考慮します。

Well-Architected フレームワークは学習、測定、改善に重点を置いています。アーキテクチャを評価し、時間の経過とともにスケールする設計を実装するための一貫したアプローチを提供します。AWS が提供する AWS Well-Architected Tool は、開発前のアプローチ、本番稼働前のワークロードの状態、本番稼働中のワークロードの状態などを確認するのに役立ちます。最新の AWS アーキテクチャのベストプラクティスと比較して、ワークロードの全体的なステータスをモニタリングし、潜在的なリスクについてインサイトを得ることができます。

AWS のお客様は、AWS のベストプラクティスに照らしてアーキテクチャを評価するために、ミッションクリティカルなワークロードのガイド付き Well-Architected レビューを受けることもできます。エンタープライズサポートのお客様は、クラウドでの運用へのアプローチにおけるギャップの特定を支援するよう設計された運用レビューを受けることができます。

これらのレビューのチーム間での関与は、ワークロードとチームの役割の成功への貢献方法に関する共通理解を確立するのに役立ちます。レビューを通じて特定されるニーズは、優先順位を決定するのに役立ちます。

AWS Trusted Advisor は、最適化を推奨する中心的なチェックのセットへのアクセスを提供するツールであり、優先順位の決定に役立ちます。ビジネスおよびエンタープライズサポートのお客様は、優先順位の決定にさらに役立つ、セキュリティ、信頼性、パフォーマンス、コストの最適化に重点を置いた追加のチェックにアクセスできます。

期待される成果:

  • Well-Architected と Trusted Advisor 出力を定期的に確認し、これに基づいて対応する

  • サービスの最新のパッチステータスを把握する

  • 既知の脅威のリスクと影響を理解し、適宜対応する

  • 必要に応じて緩和策を実施する

  • アクションと背景情報を伝える

一般的なアンチパターン:

  • 自社製品に古いバージョンのソフトウェアライブラリを使用しています。あなたは、ワークロードに意図しない影響を及ぼす可能性のある問題について、ライブラリのセキュリティ更新が必要なことを認識していません。

  • 最近、競合他社は、あなたの製品に関する顧客からの苦情の多くに対処する製品のバージョンをリリースしました。あなたは、これらの既知の問題の対処について優先順位付けを行っていません。

  • 規制当局は、法規制コンプライアンス要件を遵守していない企業の責任を追求してきました。未対応のコンプライアンス要件への対応に優先順位が付けてられていません。

このベストプラクティスを活用するメリット: 組織とワークロードに対する脅威を特定して理解することで、対処すべき脅威、その優先度、対処に必要なリソースを判断しやすくなります。

このベストプラクティスが確立されていない場合のリスクレベル:

実装のガイダンス

  • 脅威の状況の評価: ビジネスに対する脅威 (競合、ビジネスリスクと責任、運用リスク、情報セキュリティの脅威など) を評価し、重点領域を決定する際にその影響を織り込めるようにします。

  • 脅威モデルの維持: 潜在的な脅威、計画および実施された緩和策、またその優先度を特定する脅威モデルを確立し、維持します。脅威がインシデントとして出現する確率、それらのインシデントから回復するためのコスト、発生が予想される損害、およびそれらのインシデントを防ぐためのコストを確認します。脅威モデルの内容の変更に伴って、優先順位を変更します。

リソース

関連するベストプラクティス:

関連するドキュメント:

関連動画: