イミュータブルストレージの使用

ログやその他の証拠を別のアカウントにコピーした場合は、レプリケートしたデータを必ず保護してください。二次的な証拠を保護するだけでなく、コピー元のデータの整合性も保護する必要があります。このようなメカニズムはイミュータブルストレージと呼ばれ、データの改ざんや削除を防止することで、データの整合性を保護します。

Amazon S3 のネイティブ機能を使用して、データの整合性を保護するように Amazon S3 バケットを設定できます。例えば、S3 オブジェクトロックを使用すると、オブジェクトの削除や上書きを一定期間または無期限に防止できます。データの書き込みや読み取りを制限する他の方法としては、S3 バケットポリシーでのアクセス許可の管理、S3 バージョニングの設定、MFA Delete の有効化があります。この種の設定は、調査ログと証拠の保存に役立ち、書き込みは 1 回限りだが読み取りは何度でもできるライトワンスリードメニー (WORM) と呼ばれることもあります。データを保護するには、AWS Key Management Service (AWS KMS) によるサーバー側の暗号化を使用し、適切な IAM プリンシパルにのみデータの復号を許可することもできます。

また、調査の完了後にデータを長期ストレージに安全に保持したい場合は、オブジェクトライフサイクルポリシーを使用して Amazon S3 から Amazon S3 Glacier にデータを移動することを検討してください。Amazon S3 Glacier は、安全性と耐久性に優れ、きわめて低コストのクラウドストレージサービスで、データのアーカイブや長期バックアップに使用できます。99.999999999% の耐久性を実現するように設計されており、包括的なセキュリティおよびコンプライアンス機能を提供します。

さらに、Amazon S3 Glacier ボールトロックを使用して Amazon S3 Glacier 内のデータを保護できます。ボールトロックポリシーを使用すると、Amazon S3 Glacier ボールトごとにコンプライアンスコントロールを簡単にデプロイして適用できます。WORM などのセキュリティコントロールをボールトロックポリシーに指定して、ポリシーを将来の編集からロックできます。ロックしたポリシーは変更できなくなります。Amazon S3 Glacier は、ボールトロックポリシーに設定されたコントロールを適用することで、データ保持などのコンプライアンス目標の達成を支援します。AWS Identity and Access Management (IAM) ポリシー言語を使用して、さまざまなコンプライアンスコントロールをボールトロックポリシーにデプロイできます。