Amazon GuardDuty におけるデータ保護

Amazon GuardDuty でのデータ保護には、AWS の責任共有モデルが適用されます。このモデルで説明されているように、AWS は、AWS クラウドのすべてを実行するグローバルインフラストラクチャを保護する責任を担います。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービスのセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーのよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿されたAWS 責任共有モデルおよび GDPRのブログ記事を参照してください。

データを保護するため、AWS アカウント認証情報を保護し、AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

各アカウントで多要素認証 (MFA) を使用します。
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須であり TLS 1.3 がお勧めです。
AWS CloudTrail で API とユーザーアクティビティロギングをセットアップします。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「AWS CloudTrail ユーザーガイド」の「Working with CloudTrail trails」を参照してください。
AWS のサービス内のすべてのデフォルトセキュリティ管理に加え、AWS 暗号化ソリューションを使用します。
Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
コマンドラインインターフェイスまたは API を使用して AWS にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの機密情報やセンシティブ情報は、タグや [Name] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK を使って、GuardDuty や他の AWS のサービスを使用する場合も同様です。タグまたは名前に使用する自由記入欄に入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。

保管中の暗号化

GuardDuty のすべての顧客データは、AWS 暗号化ソリューションを使用して保管時に暗号化されます。

検出結果などの GuardDuty データは、AWS 所有のカスタマーマネージドキーを使用して、AWS Key Management Service (AWS KMS) により保管時に暗号化されます。

転送中の暗号化

GuardDuty は、他のサービスからのログデータを分析します。GuardDuty は、これらのサービスから転送中のデータすべてを HTTPS および KMS で暗号化します。GuardDuty がログから必要な情報を抽出すると、それらは破棄されます。GuardDuty で他のサービスの情報を使用する方法の詳細については、「GuardDuty data sources」(GuardDuty データソース) を参照してください。

GuardDuty データは、サービス間で転送時に暗号化されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティ

サービス改善のためのデータ使用をオプトアウトする