ガバナンスフレームワークにおけるセキュリティコントロール - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガバナンスフレームワークにおけるセキュリティコントロール

基礎的なレベルから計画を立てることが重要です。どのように始めればよいのでしょうか? 次の図は、ポリシー、統制目標、標準、セキュリティコントロールに基づいてセキュリティガバナンス戦略を構築する方法を示しています。

セキュリティガバナンスフレームワークの階層。

セキュリティガバナンス戦略の階層を構成する要素は次のとおりです。

  • ポリシー — ポリシーは、あらゆるサイバーセキュリティガバナンス戦略の基盤です。法定、規制、契約上の義務など、会社が果たすべき目標事項を記載した文書です。ポリシーは、業界や地域によって異なる場合があります。

  • 統制目標 — 統制目標は、ポリシーの意図を満たすのに役立つ、業界で認められたベストプラクティスなどの目標です。クラウドコンピューティングについては、多くの企業がクラウドコントロールマトリックス (CCM) (クラウドセキュリティアライアンスのウェブサイト) を採用しています。これはサイバーセキュリティ統制目標のフレームワークです。

  • 標準 — 標準は、統制目標を満たす正式に定められた要件です。標準にはプロセス、アクション、構成が含まれる場合があり、標準に照らしてパフォーマンスを測定できるように量で表すことができます。

  • セキュリティコントロール — セキュリティコントロールは、標準を実装するために導入する技術的または管理的なメカニズムです。すべてのセキュリティコントロールが標準に対応していますが、すべての標準がセキュリティコントロールに対応しているわけではありません。セキュリティコントロールのテストは、定義された基準を効果的に満たしているかどうかを監視および測定することを目的としています。

このガイドでは、AWS クラウド に一般的なセキュリティコントロールを設計して実装する方法に焦点を当てています。