データ保護
システムを設計する前に、セキュリティに影響を与える基本的なプラクティスを実施する必要があります。例えば、データ分類は組織のデータを機密性レベルに基づいてカテゴリに分類し、暗号化は不正なアクセスに対してデータを理解不能にすることでデータの開示を防ぎます。これらのツールやテクニックは、金銭的な損失の予防や規制遵守という目的を達成するためにも重要です。
AWS では、次の取り組みによりデータの保護に努めています。
-
AWS ユーザーとして、お客様は自分のデータを完全に管理することができます。
-
AWS により、データの暗号化と定期的なキーのローテーションを含むキーの管理が容易になります。これは、AWS によって簡単に自動化することも、ユーザーが保守することもできます。
-
ファイルのアクセスや変更など、重要なコンテンツを含む詳細なログを記録できます。
-
AWS には、優れた回復力を持つストレージシステムが設計されています。例えば、Amazon S3 Standard、S3 Standard–IA、S3 One Zone-IA、Amazon Glacier はすべて、1 年間にオブジェクトの 99.999999999% の堅牢性を実現するよう設計されています。この堅牢性レベルは、オブジェクトの予想される年平均損失の 0.000000001% に相当します。
-
大規模データライフサイクル管理プロセスの一部であるバージョニングは、間違った上書きや削除によるデータの喪失を防ぎます。
-
AWS ではリージョン間のデータの移動は発生しません。1 つのリージョンにあるコンテンツは、リージョン間の移動を可能にする機能を明示的に有効にしたり、その機能を提供するサービスを使用したりしない限りは、そのリージョンにとどまります。
次の質問は、セキュリティに関する考慮事項に焦点を当てています。
| SEC 7: データはどのように分類すればよいですか? |
|---|
| 分類方法を確立すると、重要度と機密性に基づいてデータをカテゴリ別に分類して、各カテゴリに適した保護と保持方法でデータを管理できるようになります。 |
| SEC 8: 保管中のデータはどのように保護しますか? |
|---|
| 複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 |
| SEC 9: 転送中のデータはどのように保護しますか? |
|---|
| 複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 |
AWS には、保管中および転送中のデータを暗号化する複数の手段があります。データの暗号化を容易にする機能を各サービスに搭載しています。例えば、Amazon S3 はサーバー側の暗号化 (SSE) を実装しているため、簡単にデータを暗号化して保管することができます。HTTPS の暗号化と復号化のプロセス全体 (一般的に SSL termination として知られているプロセス) を調整し、Elastic Load Balancing (ELB) によって処理することもできます。
