予防的コントロール - AWS 規範ガイダンス
目的プロセスユースケーステクノロジービジネス上の成果

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

予防的コントロール

予防的コントロールは、イベントの発生を防ぐように設計されたセキュリティコントロールです。このガードレールは、ネットワークへの不正アクセスや、好ましくない変更を防ぐ、第一の防御手段です。予防的コントロールの例は、許可されていないユーザーからの意図しない書き込みアクションを防ぐのに役立つため、読み取り専用アクセス権を持つ AWS Identity and Access Management (IAM) ロールです。

このタイプのコントロールについては、以下の点を確認してください。

目的

予防的コントロールの主な目的は、脅威イベントが発生する可能性をできる限り抑える、また回避することにあります。このコントロールは、システムへの不正アクセスを防ぎ、意図しない変更がシステムに影響を及ぼすことを防ぐのに役立ちます。予防的コントロールの目的は次のとおりです。

  • 職務分離 — 予防的コントロールを使用すると、権限を制限する論理的境界を設定して、指定したアカウントまたは環境で特定のタスクのみを実行するように、アクセスを許可することができます。以下に例を示します。

    • ワークロードを、特定のサービスの異なるアカウントに分割する。

    • アカウントを、本番環境、開発環境、テスト環境にそれぞれ分離する。

    • IAM ロールや引き受けられたロールを使って、特定のアクションを実行するための特定のジョブ機能のみを許可するといったように、特定の機能の実行に必要なアクセス権限と責任を複数のエンティティに委任する。

  • アクセスの制御 — 予防的コントロールを使うと、環境内のリソースやデータへのアクセスを、一貫性をもって許可または拒否することができます。以下に例を示します。

    • ユーザーが、意図されたアクセス許可を越えること (権限昇格) がないようにする。

    • アプリケーションとデータへのアクセスを、承認されたユーザーとサービスのみに制限する。

    • 管理者グループの規模を小さく抑える

    • ルートユーザーの認証情報の使用を避ける

  • 実行 — 予防的コントロールを使うと、企業に自社のポリシー、ガイドライン、基準を順守させることができます。以下に例を示します。

    • セキュリティ上の必要最低限の基準線として機能する設定を固定する。

    • 多要素認証など、追加のセキュリティ対策を実装する。

    • 未承認のロールによって実行される非標準のタスクやアクションを回避する。

プロセス

予防的コントロールのマッピングとは、各コントロールを要件に対応付け、ポリシーを使って、制限、無効化、ブロックによってこれらのコントロールを実装するプロセスのことです。コントロールをマッピングするときは、それらが環境、リソース、ユーザーに対してどのような予防的効果をもたらすことができるかを検討します。コントロールのマッピングのベストプラクティスは、次のとおりです。

  • 特定のアクティビティを禁止する厳格なコントロールは、アクションに検証、承認、変更のプロセスが必要になる本番環境にマッピングする。

  • 開発環境や規制された環境では、構築とテストの俊敏性を維持するために予防的コントロールの数が少なくなる場合がある。

  • データの区分、アセットのリスクレベル、リスク管理ポリシーは、予防的コントロールに影響を与える。

  • 標準や規制に準拠している証拠として、既存のフレームワークにマッピングする。

  • 予防的コントロールは、地理的な位置、環境、アカウント、ネットワーク、ユーザー、ロール、リソースごとに実装する。

ユースケース

データの処理

ロールは、アカウント内のすべてのデータにアクセスできるように作成されています。暗号化された機密データがある場合、権限が緩すぎると、このロールを引き受けることのできるユーザーまたはグループによってはリスクにつながる可能性があります。 AWS Key Management Service (AWS KMS) でキーポリシーを使用すると、キーにアクセスできるユーザーとデータを復号できるユーザーを制御できます。

権限昇格

管理のアクセス許可と書き込みのアクセス許可の割り当て範囲が広すぎると、ユーザーは、意図されたアクセス許可の制限をすり抜けて、追加の権限を自分で自分に付与することが可能になります。ロールを作成し管理するユーザーは、ロールに許可する権限の上限を規定する、アクセス許可の境界を割り当てることができます。

ワークロードのロックダウン

ビジネスで特定のサービスを使用する必要性が予測できない場合は、組織のメンバーアカウントで運用できるサービスを制限するか、 に基づいてサービスを制限するサービスコントロールポリシーを有効にします AWS リージョン。この予防的コントロールにより、脅威アクターがセキュリティを侵害して組織内のアカウントにアクセスした場合の影響を、抑えることができます。詳細については、このガイドの「サービスコントロールポリシー」を参照してください。

他のアプリケーションへの影響

予防的コントロールを使うと、アプリケーションのセキュリティ要件を満たすため、IAM、暗号化、ログ記録などのサービスや機能の使用を強制することができます。また、これらのコントロールを使うと、不測のエラーや設定ミスが原因で脅威アクターに悪用されるアクションを最小限に抑え、脆弱性から保護することもできます。

テクノロジー

サービスコントロールポリシー

では AWS Organizations、サービスコントロールポリシー (SCPsは、組織内のメンバーアカウントで使用可能なアクセス許可の上限を定義します。これらのポリシーを使うことで、アカウントは、組織のアクセスコントロールのガイドラインの、範囲内にとどまることができます。組織の SCP を設定する際は、以下の点に注意します。

  • SCPsは、組織のメンバーアカウントの IAM ロールとユーザーに許可されるアクセス許可の上限を定義して適用するため、予防的コントロールです。

  • SCPs、組織のメンバーアカウント内の IAM ロールとユーザーのみに影響します。組織の管理アカウントのユーザーとロールには、影響を与えません。

各 AWS リージョンのアクセス許可の上限を定義すると、SCP をより細かく設定できます。

IAM アクセス許可の境界

AWS Identity and Access Management (IAM) では、アクセス許可の境界を使用して、アイデンティティベースのポリシーが IAM エンティティ (ユーザーまたはロール) に付与できるアクセス許可の上限を設定します。エンティティのアクセス許可の境界により、エンティティは、アイデンティティベースのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを、実行することができます。アクセス許可の境界を使用するときは、以下の点に注意します。

  • AWS 管理ポリシーまたはカスタマー管理ポリシーを使用して、IAM エンティティの境界を設定できます。

  • アクセス許可の境界自体は、アクセス許可を付与しません。アクセス許可の境界ポリシーは IAM エンティティに付与されるアクセス許可を制限します。

ビジネス上の成果

時間を節約できる

  • 予防的コントロールを設定した後に自動化を追加することで、手動による介入の必要性とエラーの発生頻度を減らすことができます。

  • アクセス許可の境界を予防的コントロールとして使用すれば、セキュリティチームと IAM チームは、ガバナンスやサポートなどの重要タスクに専念することができます。

規制を確実に順守できる

  • 企業では、社内や業界の規制を順守する必要が出てくる場合があります。このような規制は、リージョン、ユーザーやロール、サービスなどに制約をもたらす可能性があります。SCP を使用すると、常に規制を順守でき、違反による罰則を防ぐことができます。

リスクを軽減できる

  • 会社が成長すると、新しいロールやポリシーの作成と管理を要求するリクエストの数が増えます。それに伴って、各アプリケーションのアクセス許可を手動で作成するために何が必要なのか、そのコンテクストを理解することがますます難しくなります。設定した予防的コントロールは基準線として機能し、ユーザーに誤ってアクセス許可が付与された場合でも意図されていないアクションが実行されることを防ぐことができます。

  • アクセスポリシーに予防的コントロールを適用すると、データやアセットを保護する新しいレイヤーが追加されます。