セキュリティの一元管理: - AWS における GDPR コンプライアンスに関する情報提供

セキュリティの一元管理:

多くの組織が、環境の可視性と一元管理に関する課題を抱えています。運用フットプリントが拡大するにつれて、セキュリティ設計を慎重に検討しなければ、この課題はさらに複雑になる可能性があります。知識不足にガバナンスやセキュリティプロセスの分散した不均等な管理が相まって、環境が脆弱になるおそれがあります。

AWS は、IT 管理とガバナンスに関する最も困難な要件の一部に対処するのに役立つツールと、設計によるデータ保護をサポートするツールを提供しています。

AWS Control Tower は、新しいセキュアなマルチアカウントの AWS 環境を設定して管理する方法を提供します。ベストプラクティスのブループリントに基づいたマルチアカウント環境であるランディングゾーンの設定を自動化し、事前にパッケージ化されたリストから選択できるガードレールを使用してガバナンスを可能にします。ガードレールは、セキュリティやコンプライアンス、運用に関するガバナンスルールを実装しています。AWS Control Tower は、AWS IAM Identity Center (IAM Identity Center) デフォルトディレクトリを使用した ID 管理を提供し、IAM Identity Center および IAM を使用したクロスアカウント監査を有効にします。また、CloudTrail からのログと Amazon S3 に保存されている AWS Config ログも一元化されます。

AWS Security Hubは、一元化をサポートし、組織の可視性を高めることができるもう 1 つのサービスです。Security Hub は、AWS のアカウントや、Amazon GuardDuty および Amazon Inspector といったサービス全体からのセキュリティおよびコンプライアンスに関する検出結果を一元化して、優先順位を設定します。また、サードパーティーパートナーのセキュリティソフトウェアと統合でき、セキュリティの傾向を分析し、最も重要なセキュリティの問題を特定するのに役立ちます。

Amazon GuardDuty は、インテリジェントな脅威検出サービスで、Amazon S3 に保存されている AWS アカウントや、ワークロード、データをより正確かつ簡単に監視、保護するのに役立ちます。GuardDuty は、AWS CloudTrail 管理イベント、CloudTrail Amazon S3 データイベント、Amazon Virtual Private Cloud フローログ、DNS ログなど、複数のソースから AWS アカウント全体で数十億ものイベントを分析します。例えば、異常な API コール、既知の悪質な IP アドレスへの不審なアウトバウンド通信、または DNS クエリを転送メカニズムとして使用するデータ窃盗の可能性を検出します。GuardDuty は、機械学習を利用した脅威インテリジェンスとサードパーティーのセキュリティパートナーを活用することで、より正確な検出結果を提供できます。

Amazon Inspector は、Amazon EC2 インスタンスにデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。Amazon Inspector では、露出、脆弱性、ベストプラクティスからの逸脱に関して、アプリケーションを自動的に評価します。評価が実行された後、セキュリティの検出結果を重大性の順で並べた詳細なリストが Amazon Inspector によって作成されます。

Amazon CloudWatch Events を使用すると、他の AWS アカウントにイベントを送信する、または他のアカウントや組織からのイベントの受取先になるように AWS アカウントを設定できます。この仕組みは、セキュリティインシデントイベントが発生するといつでも必要に応じてタイムリーな修正アクション (Lambda 関数の呼び出し、Amazon EC2 インスタンスでのコマンドの実行など) を実行して、クロスアカウントのインシデント対応シナリオを実装するのに非常に役立ちます。

AWS security services flow diagram showing data path from sources to target options.

図 5 —AWS Security Hub および Amazon CloudWatch Events を使用したアクションの実行

AWS Organizations は、複雑な環境を一元的に管理、統制するのに役立ちます。これにより、マルチアカウント環境でアクセスやコンプライアンス、セキュリティを制御できます。AWS Organizations は、組織内の特定のアカウントまたは組織単位 (OU) で使用できる AWS のサービスのアクションを定義するサービスコントロールポリシー (SCP) をサポートしています。

AWS Systems Manager は、AWS でご利用のインフラストラクチャを可視化し、制御するためのサービスです。統一されたコンソールから複数の AWS のサービスの運用データを表示し、サービス全体で運用タスクを自動化できます。最近の API アクティビティ、リソース設定の変更、運用アラート、ソフトウェアインベントリ、パッチコンプライアンスステータスに関する情報が得られます。他の AWS のサービスとの統合により、運用上のニーズに応じてリソースに対するアクションを実行して、環境をコンプライアンス状態で維持することができます。

例えば、Amazon Inspector を AWS Systems Manager と統合することで、セキュリティ評価が簡素化および自動化されます。これは、Amazon EC2 インスタンスの起動時に Amazon Elastic Compute Cloud Systems Manager を使用して Amazon Inspector エージェントを自動的にインストールできるためです。Amazon EC2 システムマネージャーと Lambda 関数を使用して、Amazon Inspector の検出結果に対して自動修正を実行することもできます。