セキュリティ基盤 - AWS 規範ガイダンス
セキュリティ機能セキュリティ設計原則AWS SRA CAFと AWS Well-Architected フレームワークで AWS を使用する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ基盤

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケートに回答してください。

AWS Security Reference Architecture は、AWS Cloud Adoption Framework (AWS CAF)、AWS Well-Architected Framework、Word Shared Responsibility Model のAWS 3 つの AWS セキュリティ基盤に整合しています。

AWS Professional Services は、企業がクラウド導入を成功させるための迅速な道を設計し、それに従うのに役立つ CAF AWS を作成しました。フレームワークが提供するガイダンスとベストプラクティスは、お客様の企業全体および IT ライフサイクル全体にわたるクラウドコンピューティングに対する包括的なアプローチを構築するのに役立ちます。AWS CAF は、視点と呼ばれる 6 つの重点分野にガイダンスを整理します。それぞれの視点は、機能に関連する利害関係者が所有または管理する明確な責任をカバーしています。一般に、ビジネス、人材、ガバナンスの視点はビジネス能力に重点を置き、プラットフォーム、セキュリティ、オペレーションの視点は技術的能力に焦点を当てています。

  • AWS CAF のセキュリティの視点は、ビジネス全体のコントロールの選択と実装を構築するのに役立ちます。セキュリティの柱に記載されている最新の AWS レコメンデーションに従うことで、ビジネス要件と規制要件を満たすことができます。 

AWS Well-Architected フレームワークは、クラウドアーキテクトがアプリケーションとワークロードのための安全で高性能、耐障害性、効率的なインフラストラクチャを構築するのに役立ちます。このフレームワークは、運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化、持続可能性という 6 つの柱に基づいており、AWS のお客様とパートナーがアーキテクチャを評価し、時間の経過とともにスケールできる設計を実装するための一貫したアプローチを提供します。私たちは、well-architected ワークロードを設計することで、ビジネスの成功の可能性が大幅に高まると考えています。

  • Well-Architected フレームワークのセキュリティの柱では、クラウドテクノロジーを活用して、セキュリティ体制を改善できる方法でデータ、システム、アセットを保護する方法について説明します。これにより、最新の AWS レコメンデーションに従うことで、ビジネス要件と規制要件を満たすことができます。Well-Architected フレームワークには、ガバナンス、サーバーレス、AI/ML、ゲームなど、特定のドメインのコンテキストをより詳細に把握できるその他の重点領域があります。これらは AWS Well-Architected レンズと呼ばれます。 

セキュリティとコンプライアンスは、AWS とお客様の間で共有される責任です。この共有モデルは、AWS がホストオペレーティングシステムや仮想化レイヤーから、サービスが動作する施設の物理的なセキュリティまで、コンポーネントを運用、管理、制御する際の運用上の負担を軽減するのに役立ちます。例えば、ゲストオペレーティングシステム (更新とセキュリティパッチを含む)、アプリケーションソフトウェア、サーバー側のデータの暗号化、ネットワークトラフィックルートテーブル、AWS が提供するセキュリティグループファイアウォールの設定について、お客様が責任と管理を引き受けます。Amazon Simple Storage Service (Amazon S3) や Amazon DynamoDB などの抽象化されたサービスの場合、AWS はインフラストラクチャレイヤー、オペレーティングシステム、プラットフォームを操作し、エンドポイントにアクセスしてデータを保存および取得します。お客様は、データ (暗号化オプションを含む) の管理、アセットの分類、AWS Identity and Access Management (IAM) ツールを使用して適切なアクセス許可を適用する責任があります。この共有モデルは、多くの場合、Word がクラウドのセキュリティ (つまり、AWS AWS Cloud で提供されるすべてのサービスを実行するインフラストラクチャの保護) を担当し、ユーザーがクラウドのセキュリティ (選択した AWS Cloud サービスによって決定される) を担当していると記述されます。 

これらの基本文書で提供されるガイダンスでは、 AWS の設計と理解に特に関連するのは、SRAセキュリティ機能とセキュリティ設計原則の 2 つの概念セットです。

セキュリティ機能

AWS CAFの観点からは、データとクラウドワークロードの機密性、完全性、可用性を実現するのに役立つ 9 つの機能の概要が説明されています。

  • セキュリティガバナンスは、組織の AWS 環境全体でセキュリティのロール、責任、ポリシー、プロセス、手順を開発して伝達します。

  • セキュリティおよびプライバシープログラムの有効性を監視、評価、管理、改善するためのセキュリティ保証

  • ID とアクセス管理。ID とアクセス許可を大規模に管理します。

  • 潜在的なセキュリティ設定ミス、脅威、または予期しない動作を理解して特定するための脅威検出

  • セキュリティの脆弱性を継続的に特定、分類、修正、軽減するための脆弱性管理

  • ワークロード内のシステムとサービスが保護されていることを検証するためのインフラストラクチャ保護

  • データの可視性と制御、および組織内でのデータのアクセスと使用方法を維持するためのデータ保護

  • ソフトウェア開発プロセス中にセキュリティの脆弱性を検出して対処するのに役立つアプリケーションセキュリティ。

  • セキュリティインシデントに効果的に対応することで、潜在的な損害を軽減するためのインシデント対応。

セキュリティ設計原則

Well-Architected フレームワークのセキュリティの柱は、特定のセキュリティ領域をワークロードのセキュリティ強化に役立つ実用的なガイダンスに変換する 7 つの設計原則のセットをキャプチャします。セキュリティ機能が全体的なセキュリティ戦略を構成する場合、これらの Well-Architected フレームワークの原則は、開始できる内容を示しています。これらはこのAWSに非常に意図的に反映SRAされ、以下で構成されます。

  • 強力なアイデンティティ基盤を実装する – 最小特権の原則を実装し、AWS リソースとのやり取りごとに適切な認可で職務の分離を適用します。アイデンティティ管理を一元化し、長期的な静的認証情報への依存を排除することを目指します。

  • トレーサビリティを有効にする - お客様の環境に対するアクションと変更をリアルタイムで監視、アラートを生成し、監査します。ログとメトリクスの収集をシステムと統合して、自動的に調査してアクションを実行します。

  • すべてのレイヤーにセキュリティを適用する – 複数のセキュリティコントロールで a defense-in-depth アプローチを適用します。エッジオブネットワーク、仮想プライベートクラウド (VPC)、ロードバランシング、インスタンスおよびコンピューティングサービス、オペレーティングシステム、アプリケーション設定、コードなど、複数のタイプのコントロール (予防コントロールや検出コントロールなど) をすべてのレイヤーに適用します。

  • セキュリティのベストプラクティスの自動化 – 自動化されたソフトウェアベースのセキュリティメカニズムにより、より迅速かつコスト・パフォーマンスに優れた方法でお客様は安全に拡張できます。セキュアなアーキテクチャを作成し、バージョン管理テンプレートでコードとして定義および管理されるコントロールを実装します。

  • 転送中および保管時のデータを保護 – お客様のデータを機密レベルに分類し、必要に応じて暗号化、トークン化、アクセス制御などのメカニズムを使用します。

  • データからユーザーを遠ざける — メカニズムとツールを使用して、データに直接アクセスしたり手動で処理したりする必要性を減らしたり排除したりします。これにより、機密データを扱う際の誤処理や変更、人的ミスのリスクが軽減されます。

  • セキュリティイベントに備える – インシデント管理と調査のポリシーとプロセスを組織の要件に合わせて設定することで、インシデントに備えます。インシデント対応シミュレーションを実行し、ツールと自動化により、検出、調査、復旧のスピードを上げます。

AWS SRA CAFと AWS Well-Architected フレームワークで AWS を使用する方法

AWSCAF、AWS Well-Architected フレームワーク、AWS SRA は、クラウド移行とモダナイゼーションの取り組みをサポートするために連携する補完的なフレームワークです。

  • AWS CAF は、AWS の経験とベストプラクティスを活用して、クラウド導入の価値を望ましいビジネス成果に合わせるのに役立ちます。AWS CAF を使用して、トランスフォーメーションの機会を特定して優先順位を付け、クラウドの準備状況を評価して改善し、トランスフォーメーションロードマップを繰り返し進化させます。

  • AWS Well-Architected フレームワークは、ビジネス成果を満たすさまざまなアプリケーションやワークロード向けに、安全で高性能、耐障害性、効率的なインフラストラクチャを構築するための AWS レコメンデーションを提供します。

  • AWS SRA は、CAF および AWS AWS Well-Architected Framework の推奨事項に沿った方法でセキュリティサービスをデプロイして管理する方法を理解するのに役立ちます。

例えば、AWS CAFの観点からは、従業員の ID とその認証を AWS で一元管理する方法を評価することをお勧めします。この情報に基づいて、Okta、Active Directory、Ping Identity などの新規または既存の企業 ID プロバイダー (IdP) ソリューションをこの目的に使用する場合があります。AWS Well-Architected フレームワークのガイダンスに従い、IdP を AWSIAM Identity Center と統合して、従業員に対し、グループのメンバーシップとアクセス許可を同期できるシングルサインオンエクスペリエンスを提供することにしました。AWS SRAコメンデーションを確認して、IAM 組織の管理アカウントで AWS Identity Center を有効にし、セキュリティ運用チームが使用するセキュリティツールアカウントを通じて管理します。この例では、AWS CAF が希望するセキュリティ体制に関する最初の意思決定にどのように役立つかを示し、AWS Well-Architected フレームワークは、その目標を達成するために利用可能な AWS サービスを評価する方法に関するガイダンスを提供し、AWS SRA は、選択したセキュリティサービスをデプロイして管理する方法についてのレコメンデーションを提供します。