検知

検知は、予期しないか望ましくない設定の変更の検知と、不要な動作の検知という 2 つの部分に分かれています。1 番目は、アプリケーション配信ライフサイクルの複数個所で発生する可能性があります。Infrastructure as Code (例えば CloudFormation テンプレート) を使用し、CI/CD パイプラインやソース管理でチェックを実施することにより、ワークロードをデプロイする前に不要な設定をチェックできます。次に、ワークロードを非本番環境と本番環境にデプロイする際、ネイティブの AWS、オープンソース、または AWS Partner ツールを使って設定をチェックできます。これらのチェックは、セキュリティプリンシパルまたはベストプラクティスに合致しない設定や、テストされた設定とデプロイされた設定間で行われた変更に対して実行できます。実行中のアプリケーションの場合、既知のデプロイ以外や自動化されたスケーリングイベントなど、設定が予期しないやり方で変更されたかどうかをチェックできます。

2 番目の予期しない動作の検知については、ツールを使うか、または特定のタイプの API コールの増加のアラートを送信することができます。Amazon GuardDuty を使用すると、予期しない、さらに潜在的に不正または悪意のあるアクティビティが AWS アカウントで発生した場合、アラートを受け取ることができます。また、ワークロードでの使用が予想されていない変異型 API コールや、セキュリティ体制を変更する API コールを明示的にモニタリングする必要があります。

検出により、潜在的なセキュリティ設定の誤り、脅威、予期しない動作を特定できます。検出はセキュリティライフサイクルの最重要部分であり、品質管理プロセス、法的義務またはコンプライアンス義務、脅威の特定とその対応をサポートします。検出メカニズムにはさまざまなタイプがあります。たとえば、ワークロードのログは、使用された脆弱性を分析できます。ワークロードに関連する検出メカニズムを定期的に見直し、内部および外部のポリシーと要件を満たしていることを確認する必要があります。自動化されたアラートと通知は、チームやツールが調査できるように、定義された条件に基づいて行う必要があります。これらのメカニズムは、組織が異常なアクティビティの範囲を特定し把握するのに役立つ重要な対応機能です。

AWS には、検出メカニズムに対処する際に使用できる多くのアプローチがあります。以下の各セクションでは、こうしたアプローチの使用方法を説明します。