翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ、アイデンティティ、コンプライアンス

AWS は、アプリケーションとワークロードを構築、移行、管理する最も安全なグローバルクラウドインフラストラクチャとなるように設計されています。

各サービスは、図の後に説明されています。ニーズに最も合ったサービスを判断するには、「選択」を参照してください。 AWS セキュリティ、アイデンティティ、ガバナンスサービス。一般的な情報については、「 のセキュリティ、アイデンティティ、コンプライアンス」を参照してください。 AWS.

に戻りますAWS サービス。

Amazon Cognito

Amazon Cognito を使用すると、ウェブおよびモバイルアプリにユーザーのサインアップ、サインイン、アクセスコントロールを迅速かつ簡単に追加できます。Amazon Cognito を使用すると、数百万のユーザーにスケールでき、Apple、Facebook、Twitter、Amazon などのソーシャル ID プロバイダー、2.0 ID SAML ソリューション、または独自の ID システムを使用したサインインをサポートします。

さらに、Amazon Cognito を使用すると、ユーザーのデバイスにデータをローカルに保存できるため、デバイスがオフラインの場合でもアプリケーションを動作させることができます。その後、ユーザーのデバイス間でデータを同期して、使用するデバイスに関係なくアプリエクスペリエンスの一貫性を維持できます。

Amazon Cognito を使用すると、ユーザーの管理、認証、デバイス間の同期を行うソリューションの構築、安全性の確保、スケーリングに煩わされることなく、優れたアプリのエクスペリエンスを作成することに集中できます。

Amazon Detective

Amazon Detective を使用すると、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因を簡単に分析、調査、および迅速に特定できます。Amazon Detective は からログデータを自動的に収集します AWS リソースと は、機械学習、統計分析、グラフ理論を使用して、リンクされた一連のデータを構築し、セキュリティ調査を迅速かつ効率的に簡単に実行できるようにします。Amazon Detective は、 を使用して、組織内のすべての既存および将来のアカウントにおけるセキュリティオペレーションと調査のアカウント管理をさらに簡素化します。 AWS Organizations 最大 1,200 の AWS アカウント。

AWS Amazon 、Amazon Macie GuardDuty、 などの セキュリティサービス AWS Security Hub、およびパートナーセキュリティ製品を使用して、潜在的なセキュリティ問題や検出結果を特定できます。これらのサービスは、 で不正アクセスや疑わしい動作が発生する可能性がある場合や、その可能性がある場合に警告するのに役立ちます。 AWS デプロイ。ただし、根本原因を修正するために検出結果の原因となったイベントをより詳細に調査したいセキュリティ検出結果がある場合があります。セキュリティ検出結果の根本原因を特定することは、多くのデータソースからのログの収集と結合、抽出、変換、ロード (ETL) ツールの使用、およびデータを整理するためのカスタムスクリプトを含むことが多いセキュリティアナリストにとって複雑なプロセスである可能性があります。

Amazon Detective は、セキュリティチームが簡単に調査し、検出結果の根本原因にすばやく到達できるようにすることで、このプロセスを簡素化します。Detective は、Amazon Virtual Private Cloud (VPC) フローログ、 AWS CloudTrail、、および Amazon GuardDuty。Detective は、これらのイベントを使用して、リソース、ユーザー、およびそれらの間の時間の経過に伴うインタラクションの統合インタラクティブビューを自動的に作成します。この統合ビューを使用すると、すべての詳細とコンテキストを 1 か所で視覚化して、検出結果の根本的な理由を特定し、関連する過去のアクティビティをドリルダウンして、根本原因をすばやく特定できます。

Amazon Detective は、 で数回クリックするだけで開始できます。 AWS Management Console。 デプロイするソフトウェアや、有効にして維持するデータソースはありません。Detective は、新しいアカウントで利用できる 30 日間の無料トライアルで追加料金なしで試すことができます。

Amazon GuardDuty

Amazon GuardDuty は、 を保護するために悪意のあるアクティビティや異常な動作を継続的にモニタリングする脅威検出サービスです。 AWS アカウント Amazon Simple Storage Service (Amazon S3) に保存されている 、ワークロード、Kubernetes クラスター、およびデータ。この GuardDutyサービスは、異常なAPI呼び出し、不正なデプロイ、アカウントの偵察や侵害の可能性を示す認証情報の漏洩などのアクティビティをモニタリングします。

で数回クリックすると有効になります AWS Management Console のサポートにより、組織全体で簡単に管理できます。 AWS Organizations、Amazon GuardDuty は 全体で数十億のイベントの分析をすぐに開始できます。 AWS は、不正使用の兆候を考慮します。 は、統合された脅威インテリジェンスフィードと機械学習の異常検出を通じて疑わしい攻撃者 GuardDuty を識別し、アカウントおよびワークロードアクティビティの異常を検出します。不正使用の可能性が検出されると、サービスは GuardDuty コンソール、Amazon CloudWatch Events、および に詳細な検出結果を提供します。 AWS Security Hub。 これにより、検出結果が実行可能になり、既存のイベント管理およびワークフローシステムに統合しやすくなります。検出結果の根本原因を特定するための詳細な調査は、 GuardDuty コンソールから直接 Amazon Detective を使用することで簡単に実現できます。

Amazon GuardDuty はコスト効率が高く、運用も簡単です。ソフトウェアやセキュリティインフラストラクチャをデプロイして維持する必要はありません。つまり、既存のアプリケーションやコンテナのワークロードに悪影響を与えるリスクなしに、迅速に有効にすることができます。には前払いコストは GuardDutyかかりません。デプロイするソフトウェアも、有効にする脅威インテリジェンスフィードもありません。さらに、 GuardDuty はスマートフィルターを適用し、脅威検出に関連するログのサブセットのみを分析することでコストを最適化し、新しい Amazon GuardDuty アカウントは 30 日間無料です。

Amazon Inspector

Amazon Inspector は、継続的にスキャンする新しい自動脆弱性管理サービスです。 AWS ソフトウェアの脆弱性や意図しないネットワークへの露出に対する ワークロード。を数回クリックするだけで AWS Management Console また、 AWS Organizations、Amazon Inspector は、組織内のすべてのアカウントで使用できます。起動すると、Amazon Inspector は、Amazon Elastic Container Registry (Amazon EC2) にある実行中の Amazon Elastic Compute Cloud (Amazon ECR) インスタンスとコンテナイメージを任意の規模で自動的に検出し、既知の脆弱性の評価を直ちに開始します。

Amazon Inspector には、Amazon Inspector Classic よりも多くの改善点があります。例えば、新しい Amazon Inspector は、一般的な脆弱性や露出 (CVE) 情報をネットワークアクセスや悪用可能性などの要因と関連付けることで、各検出結果について高度にコンテキスト化されたリスクスコアを計算します。このスコアは、修復レスポンスの効率を向上させるために、最も重要な脆弱性に優先順位を付けるために使用されます。さらに、Amazon Inspector は広くデプロイされている を使用するようになりました。 AWS Systems Manager エージェント (SSM エージェント) を使用すると、Amazon EC2インスタンス評価を実行するためにスタンドアロンエージェントをデプロイして維持する必要がなくなります。コンテナワークロードの場合、Amazon Inspector は Amazon Elastic Container Registry (Amazon ECR) と統合され、コンテナイメージのインテリジェントでコスト効率の高い継続的な脆弱性評価をサポートするようになりました。すべての検出結果は Amazon Inspector コンソールに集約され、 にルーティングされます。 AWS Security Hub、、および は Amazon 経由でプッシュ EventBridge され、チケット発行などのワークフローを自動化します。

Amazon Inspector を初めて使用するすべてのアカウントは、15 日間の無料トライアルの対象となり、サービスを評価してそのコストを見積もることができます。トライアル中、Amazon にプッシュされた対象となるすべての Amazon EC2インスタンスとコンテナイメージECRは、無料で継続的にスキャンされます。

Amazon Macie

Amazon Macie は、インベントリ評価、機械学習、パターンマッチングを使用して Amazon S3 環境で機密データとアクセシビリティを検出するフルマネージド型のデータセキュリティおよびデータプライバシーサービスです。Macie は、バケットへの変更を自動的に追跡し、新規または変更されたオブジェクトを経時的にのみ評価する、スケーラブルなオンデマンドおよび自動機密データ検出ジョブをサポートしています。Macie を使用すると、複数のタイプの財務データ、個人健康情報 (PHI）、個人を特定できる情報 (PII）、カスタムタイプなど、多くの国と地域の機密データタイプの大規模で増加しているリストを検出できます。Macie は Amazon S3 環境を継続的に評価し、すべてのアカウントで S3 リソースの概要とセキュリティ評価を提供します。S3 バケットは、バケット名、タグ、暗号化ステータスやパブリックアクセシビリティなどのセキュリティコントロールなどのメタデータ変数で検索、フィルタリング、ソートできます。暗号化されていないバケット、パブリックにアクセス可能なバケット、または と共有されているバケットの場合 AWS アカウント で定義した の外部 AWS Organizations、アクションを警告されます。

マルチアカウント設定では、単一の Macie 管理者アカウントが、 アカウント間での機密データ検出ジョブの作成と管理を含む、すべてのメンバーアカウントを管理できます。 AWS Organizations。 セキュリティと機密データの検出結果は Macie 管理者アカウントに集約され、Amazon CloudWatch Events および に送信されます。 AWS Security Hub。 1 つの アカウントを使用して、イベント管理、ワークフロー、チケット発行システムと統合したり、 で Macie の検出結果を使用したりできます。 AWS Step Functions 修復アクションを自動化する 。S3 バケットインベントリとバケットレベルの評価のために、新しいアカウントで利用できる 30 日間のトライアルを無料で使用して、Macie の使用をすばやく開始できます。機密データの検出は、バケット評価の 30 日間のトライアルには含まれません。

Amazon Security Lake

Amazon Security Lake は、 のセキュリティデータを一元化します。 AWS 環境、SaaS プロバイダー、オンプレミス、クラウドソースを、 に保存されている専用のデータレイクにまとめます。 AWS アカウント。 Security Lake は、アカウントと 全体のセキュリティデータの収集と管理を自動化します。 AWS リージョン を使用すると、セキュリティデータの制御と所有権を維持しながら、任意の分析ツールを使用できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。

Security Lake は、統合 からのセキュリティ関連のログとイベントデータの収集を自動化します。 AWS サービスとサードパーティーサービス。また、カスタマイズ可能な保持設定を使用してデータのライフサイクルを管理するのにも役立ちます。データレイクは Amazon S3 バケットによってバックアップされ、データに対する所有権は保持されます。Security Lake は、取り込まれたデータを Apache Parquet 形式と、Open Cybersecurity Schema Framework () と呼ばれる標準のオープンソーススキーマに変換しますOCSF。OCSF サポートにより、Security Lake は のセキュリティデータを正規化して結合します。 AWS および幅広いエンタープライズセキュリティデータソース。

その他 AWS サービスとサードパーティーサービスは、インシデント対応とセキュリティデータ分析のために Security Lake に保存されているデータをサブスクライブできます。

Amazon Verified Permissions

Amazon Verified Permissions は、構築したカスタムアプリケーション向けのスケーラブルできめ細かなアクセス許可の管理および承認サービスです。Verified Permissions を利用すると、認証を外部化し、ポリシーの管理と管理を一元化することで、開発者は安全なアプリケーションをより迅速に構築できます。

Verified Permissions は、オープンソースのポリシー言語である Cedar と を使用してSDK、アプリケーションユーザーのきめ細かなアクセス許可を定義します。認証モデルは、プリンシパルタイプ、リソースタイプ、および有効なアクションを使用して定義され、特定のアプリケーションコンテキスト内のどのリソースに対してどのアクションを実行できるかを制御します。ポリシーの変更は監査され、誰がいつ変更したかを確認できます。

AWS Artifact

AWS Artifact は、お客様にとって重要なコンプライアンス関連情報の頼りになる中心的なリソースです。へのオンデマンドアクセスを提供します。 AWS セキュリティおよびコンプライアンスレポートと一部のオンライン契約。で利用可能なレポート AWS Artifact には、Service Organization Control (SOC) レポート、Payment Card Industry (PCI) レポート、および の実装と運用の有効性を検証する地域とコンプライアンスの垂直的領域にわたる認定機関からの証明書が含まれます。 AWS セキュリティコントロール。で利用可能な契約 AWS Artifact には、事業提携契約 (BAA) と機密保持契約 () が含まれますNDA。

AWS Audit Manager

AWS Audit Manager は、 の継続的な監査に役立ちます。 AWS を使用して、リスクと規制および業界標準への準拠を評価する方法を簡素化します。Audit Manager は証拠収集を自動化して、監査で頻繁に発生する「全人作業」の手動作業を減らし、ビジネスの拡大に合わせてクラウドで監査機能を拡張できるようにします。Audit Manager を使用すると、ポリシー、手順、アクティビティ、つまりコントロールとも呼ばれるアクティビティが効果的に機能しているかどうかを簡単に評価できます。監査の時期になると、 AWS Audit Manager は、コントロールのステークホルダーレビューを管理し、手動による労力を大幅に削減して監査対応レポートを構築できるようにします。

- AWS Audit Manager 構築済みのフレームワークは、 をマッピングすることで、クラウドサービスからの証拠を監査人向けのレポートに変換するのに役立ちます。 AWS CIS AWS Foundations Benchmark、一般データ保護規則 ()、Payment Card Industry Data Security Standard (GDPRPCI) など、業界標準または規制の要件に応じた リソースDSS。また、独自のビジネス要件に合わせてフレームワークとそのコントロールを完全にカスタマイズすることもできます。選択したフレームワークに基づいて、Audit Manager は から関連する証拠を継続的に収集して整理する評価を開始します。 AWS リソース設定スナップショット、ユーザーアクティビティ、コンプライアンスチェック結果などの アカウントとリソース。

ですぐに開始できます。 AWS Management Console。 構築済みのフレームワークを選択して評価を開始し、証拠の自動収集と整理を開始するだけです。

AWS Certificate Manager

AWS Certificate Manager は、 で使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を簡単にプロビジョニング、管理、デプロイできるサービスです。 AWS サービスと内部接続リソース。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネット上のウェブサイトとプライベートネットワーク上のリソースのアイデンティティを確立するために使用されます。 AWS Certificate Manager は、/ SSL証明書の購入、アップロード、更新TLSの時間のかかる手動プロセスを削除します。

で AWS Certificate Managerでは、証明書をすばやくリクエストし、 ACM統合 にデプロイできます。 AWS Elastic Load Balancing 、Amazon ディストリビューション、APIゲートウェイAPIs上の などの リソース、および CloudFront AWS Certificate Manager は証明書の更新を処理します。また、内部リソースのプライベート証明書を作成し、証明書のライフサイクルを一元管理することもできます。を通じてプロビジョニングされるパブリック証明書とプライベート証明書 AWS Certificate Manager ACM統合サービスで使用する は無料です。の支払いは、 AWS アプリケーションを実行するために作成する リソース。

の場合AWS Private Certificate Authorityでは、プライベート認証機関 (CA) の運用と発行するプライベート証明書に対して毎月お支払いいただきます。 独自のプライベート CA を運用するための事前投資や継続的なメンテナンスコストなしで、可用性の高いプライベート CA サービスを利用できます。

AWS CloudHSM

AWS CloudHSM は、 で独自の暗号化キーを簡単に生成して使用できるクラウドベースのハードウェアセキュリティモジュール (HSM) です。 AWS クラウド。 で AWS CloudHSMでは、専用の 140-2 Level FIPS 3 検証済み を使用して、独自の暗号化キーを管理できますHSMs。 AWS CloudHSM では、PKCS#11APIs、Java Cryptography Extensions (JCE）、Microsoft CryptoNG (CNG) ライブラリなど、業界標準の を使用してアプリケーションと柔軟に統合できます。

AWS CloudHSM は標準に準拠しており、設定に応じてHSMs、すべてのキーを他のほとんどの商用 にエクスポートできます。これは、ハードウェアのプロビジョニング、ソフトウェアのパッチ適用、高可用性、バックアップなど、時間のかかる管理タスクを自動化するフルマネージドサービスです。 AWS CloudHSM また、 では、HSM容量をオンデマンドで追加および削除することで、前払いコストなしで迅速にスケーリングできます。

AWS Directory Service

AWS Directory Service for Microsoft Active Directory、別名 AWS Managed Microsoft ADでは、ディレクトリ対応のワークロードとAWSリソースが でマネージド Active Directory を使用できるようにします。 AWS クラウド. AWS Managed Microsoft AD は実際の Microsoft Active Directory 上に構築されており、既存の Active Directory からクラウドにデータを同期またはレプリケートする必要はありません。標準の Active Directory 管理ツールを使用して、グループポリシーやシングルサインオン () などの組み込み Active Directory 機能を活用できますSSO。で AWS Managed Microsoft ADでは、Amazon EC2および Amazon RDS for SQL Server インスタンスをドメインに簡単に結合し、Amazon WorkSpaces などのAWSエンタープライズ IT アプリケーションを Active Directory ユーザーおよびグループとともに使用できます。

AWS Firewall Manager

AWS Firewall Manager は、 のアカウントとアプリケーション全体でファイアウォールルールを一元的に設定および管理できるセキュリティ管理サービスです。 AWS Organizations。 新しいアプリケーションが作成されると、Firewall Manager は、共通のセキュリティルールのセットを適用することで、新しいアプリケーションとリソースを簡単にコンプライアンスに取り込むことができます。これで、ファイアウォールルールを構築し、セキュリティポリシーを作成し、インフラストラクチャ全体で一貫した階層的な方法で中央管理者アカウントから適用する 1 つのサービスができました。

AWS Identity and Access Management

AWS Identity and Access Management (IAM) を使用すると、 へのアクセスを安全に制御できます。 AWS の サービスとリソース AWS ユーザー、グループ、ロール。を使用するとIAM、アクセス許可を使用してきめ細かなアクセスコントロールを作成および管理し、どのサービスやリソースにどの条件でアクセスできるかを指定できます。IAM では、次の操作を実行できます。

AWS Key Management Service

AWS Key Management Service (AWS KMS) を使用すると、暗号化キーの作成と管理が容易になり、さまざまな でその使用を制御できます。 AWS アプリケーション内の および のサービス。 AWS KMS は、ハードウェアセキュリティモジュール (HSM) を使用して を保護し、検証します。 AWS KMS FIPS 140-2 暗号化モジュール検証プログラム の キー。 AWS KMS は と統合されています。 AWS CloudTrail は、規制やコンプライアンスのニーズを満たすために、すべての主要な使用状況のログを提供します。

AWS Network Firewall

AWS Network Firewall は、すべての Amazon Virtual Private Cloud () に不可欠なネットワーク保護を簡単にデプロイできるマネージドサービスですVPCs。サービスは数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的にスケーリングされるため、インフラストラクチャのデプロイと管理について心配する必要はありません。AWS Network Firewall の柔軟なルールエンジンを使用すると、アウトバウンドの Server Message Block (SMB) リクエストをブロックして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックをきめ細かく制御できるファイアウォールルールを定義できます。既に一般的なオープンソースのルール形式で記述したルールをインポートしたり、 がソースとするマネージドインテリジェンスフィードとの統合を有効にしたりすることもできます。 AWS パートナー。 AWS Network Firewall と連携する AWS Firewall Manager に基づいてポリシーを構築できます。 AWS Network Firewall ルールを作成し、 VPCsおよび アカウント全体にそれらのポリシーを一元的に適用します。

AWS Network Firewall には、一般的なネットワーク脅威からの保護を提供する機能が含まれています。- AWS Network Firewall ステートフルファイアウォールは、接続の追跡やプロトコル識別などのトラフィックフローのコンテキストを組み込むことで、 が不正なプロトコルを使用してドメインにアクセスできないVPCsようにするなどのポリシーを適用できます。- AWS Network Firewall 侵入防止システム (IPS) はアクティブなトラフィックフロー検査を提供するため、署名ベースの検出を使用して脆弱性の悪用を特定してブロックできます。 AWS Network Firewall は、既知の不正なドメイン名へのトラフィックを停止URLsし、完全修飾ドメイン名をモニタリングできるウェブフィルタリングも提供します。

簡単に の使用を開始できます。 AWS Network Firewall Amazon VPC コンソールにアクセスしてファイアウォールルールを作成またはインポートし、ポリシーにグループ化して、保護する VPCs に適用します。 AWS Network Firewall の料金は、デプロイされたファイアウォールの数と検査されたトラフィックの量に基づいています。前払いのコミットメントはなく、使用した分のみお支払いいただきます。

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) は、 AWS アカウント間、組織内または組織単位 (OUs) AWS 内、サポートされているリソースタイプのIAMロールとIAMユーザーとリソースを安全に共有するのに役立ちます。以下を使用できます..。 AWS RAM トランジットゲートウェイ、サブネット、 AWS License Manager ライセンス設定、Amazon Route 53 Resolver ルール、その他のリソースタイプ。

多くの組織では、複数のアカウントを使用して管理または請求の分離を作成し、エラーの影響を制限しています。で AWS RAMでは、複数の に重複するリソースを作成する必要はありません。 AWS アカウント。これにより、所有するすべてのアカウントでリソースを管理する際の運用上のオーバーヘッドが軽減されます。代わりに、マルチアカウント環境でリソースを 1 回作成し、 AWS RAM リソース共有を作成して、アカウント間でそのリソースを共有するには、 にします。リソース共有を作成するときは、共有するリソースを選択し、 AWS RAM リソースタイプごとに マネージドアクセス許可。リソースへのアクセス許可を付与するユーザーを指定します。 AWS RAM は追加料金なしで利用できます。

AWS Secrets Manager

AWS Secrets Manager は、アプリケーション、サービス、および IT リソースへのアクセスに必要なシークレットの保護に役立ちます。このサービスを使用すると、データベース認証情報、APIキー、その他のシークレットをライフサイクルを通じて簡単にローテーション、管理、取得できます。ユーザーとアプリケーションは toSecrets 、 Manager を呼び出してシークレットを取得するためAPIs、機密情報をプレーンテキストでハードコーディングする必要はありません。Secrets Manager は、Amazon 、Amazon RedshiftRDS、および Amazon DocumentDB の統合が組み込まれたシークレットローテーションを提供します。このサービスは、APIキーやOAuthトークンなど、他のタイプのシークレットにも拡張できます。さらに、Secrets Manager を使用すると、きめ細かなアクセス許可を使用してシークレットへのアクセスを制御し、 内のリソースのシークレットローテーションを一元的に監査できます。 AWS クラウド、サードパーティーサービス、オンプレミス。

AWS Security Hub

AWS Security Hub は、 に対して自動化された継続的なセキュリティのベストプラクティスチェックを実行するクラウドセキュリティ体制管理サービスです。 AWS リソースの使用料金を見積もることができます。Security Hub は、さまざまな からセキュリティアラート (検出結果など) を集約します。 AWS のサービスとパートナー製品は標準化された形式で提供されるため、より簡単に対処できます。でセキュリティ体制を完全に把握するには AWS、Amazon からの脅威検出、Amazon Inspector からの脆弱性 GuardDuty、Amazon Macie からの機密データ分類、 からのリソース設定問題など、複数のツールとサービスを統合する必要があります。 AWS Configおよび AWS Partner Network 製品。Security Hub は、 を利用した自動セキュリティベストプラクティスチェックにより、セキュリティ体制の理解と改善を簡素化します。 AWS Config ルールと数十の との自動統合 AWS サービスとパートナー製品。

Security Hub を使用すると、すべての の統合セキュリティスコアを通じて、全体的なセキュリティ体制を把握できます。 AWS アカウントは、 のセキュリティを自動的に評価します。 AWS を介した アカウントリソース AWS Foundational Security Best Practices (FSBP) 標準およびその他のコンプライアンスフレームワーク。また、数十の のセキュリティ検出結果をすべて集約します。 AWS 経由で 1 つの場所と形式の セキュリティサービスとAPN製品 AWS Security Finding 形式 (ASFF) と は、自動応答と修復のサポートにより、平均修復時間 (MTTR) を短縮します。Security Hub には、チケット発行、チャット、セキュリティ情報とイベント管理 (SIEM）、セキュリティオーケストレーションの自動化と対応 (SOAR）、脅威調査、ガバナンスリスクとコンプライアンス (GRC）、インシデント管理ツールと out-of-the-box の統合があり、ユーザーに完全なセキュリティ運用ワークフローを提供します。

Security Hub の使用を開始するには、 から数回クリックするだけで済みます。 AWS Management Console は、30 日間の無料トライアルを使用して、検出結果の集約とセキュリティチェックの実行を開始します。Security Hub を と統合できます。 AWS Organizations は、組織内のすべてのアカウントでサービスを自動的に有効にします。

AWS Shield

AWS Shield は、 で実行されているウェブアプリケーションを保護する、マネージド型のサービス拒否 (DDoS) 保護サービスです。 AWS. AWS Shield は、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時オンの検出と自動インライン緩和を提供するため、エンゲージする必要はありません。 AWS Support DDoS 保護のメリットを享受できます。には 2 つの階層があります。 AWS Shield: Standard および Advanced。

すべて AWS のお客様は、 の自動保護の恩恵を受けます。 AWS Shield スタンダード、追加料金なし。 AWS Shield Standard は、ウェブサイトやアプリケーションをターゲットとする最も一般的な、頻繁に発生するネットワークおよびトランスポートレイヤーDDoS攻撃から保護します。を使用する場合 AWS Shield Standard Amazon CloudFront および Amazon Route 53 では、すべての既知のインフラストラクチャ (レイヤー 3 および 4) 攻撃に対する包括的な可用性保護を受けることができます。

Amazon Elastic Compute Cloud (Amazon )、Elastic Load Balancing (EC2） CloudFront、Amazon ELB、および Amazon Route 53 リソースで実行されているアプリケーションをターゲットとする攻撃に対する保護レベルを高めるには、 にサブスクライブできます。 AWS Shield Advanced。 Standard に付属するネットワークおよびトランスポートレイヤーの保護に加えて、 AWS Shield Advanced は、大規模で高度なDDoS攻撃に対する追加の検出と緩和、攻撃のほぼリアルタイムの可視性、および との統合を提供します。 AWS WAF、ウェブアプリケーションファイアウォール。 AWS Shield Advanced では、AWSDDoSレスポンスチーム (DRT) に 24 時間 365 日アクセスでき、Amazon Elastic Compute Cloud (Amazon EC2）、Elastic Load Balancing () CloudFront、Amazon ELB、Amazon Route 53 の料金のDDoS関連する急増に対する保護も利用できます。

AWS Shield Advanced は、すべての Amazon CloudFront および Amazon Route 53 エッジロケーションでグローバルに利用できます。Amazon をアプリケーションの CloudFront 前にデプロイすることで、世界中のどこでもホストされているウェブアプリケーションを保護できます。オリジンサーバーは、Amazon S3、Amazon Elastic Compute Cloud (Amazon EC2）、Elastic Load Balancing (ELB）、または 外のカスタムサーバーにすることができます。 AWS。 を有効にすることもできます。 AWS Shield 次の Elastic IP または Elastic Load Balancing (ELB) で直接アドバンストする AWS リージョン: バージニア北部、オハイオ、オレゴン、北カリフォルニア、モントリオール、サンパウロ、アイルランド、フランクフルト、ロンドン、パリ、ストックホルム、シンガポール、東京、シドニー、ソウル、ムンバイ、ミラノ、ケープタウン。

AWS IAM Identity Center

AWS IAM Identity Center (SSO) は、複数の SSO へのアクセスを一元管理しやすいSSOクラウドサービスです。 AWS アカウントとビジネスアプリケーション。数回クリックするだけで、独自のSSOインフラストラクチャを運用するための先行投資や継続的なメンテナンスコストなしで、可用性の高いSSOサービスを有効にできます。IAM Identity Center を使用すると、 のすべてのアカウントへのアクセスとユーザーSSOアクセス許可を簡単に管理できます。 AWS Organizations 一元的に。IAM Identity Center には、Salesforce、Box、Microsoft Office 365 などの多くのビジネスアプリケーションへの組み込みSAML統合も含まれています。さらに、IAMIdentity Center アプリケーション設定ウィザードを使用して、Security Assertion Markup Language (SAML) 2.0 統合を作成し、 SAMLが有効なアプリケーションSSOへのアクセスを拡張できます。ユーザーは、IAMIdentity Center で設定した認証情報を使用してユーザーポータルにサインインするか、既存の企業認証情報を使用して、割り当てられたすべてのアカウントとアプリケーションに 1 か所からアクセスするだけです。

AWS WAF

AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトやボットAPIsからウェブアプリケーションを保護するウェブアプリケーションファイアウォールです。 AWS WAF では、ボットトラフィックを制御し、インSQLジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できるようにすることで、トラフィックがアプリケーションに到達する方法を制御できます。特定のトラフィックパターンを除外するルールをカスタマイズすることもできます。の マネージドルールを使用すると、すぐに使用を開始できます。 AWS WAF、 によって管理される事前設定されたルールのセット AWS または AWS Marketplace 販売者は、過剰なリソースを消費したり、メトリクスを歪めたり、ダウンタイムを引き起こす可能性のあるセキュリティリスクのOWASP上位 10 位や自動ボットなどの問題に対処します。これらのルールは、新しい問題が発生すると定期的に更新されます。 AWS WAF には、セキュリティルールの作成、デプロイ、メンテナンスを自動化するためにAPI使用できるフル機能が含まれています。

AWS WAF Captcha

AWS WAF Captcha は、ウェブリクエストが到達する前にユーザーがチャレンジを正常に完了するように要求することで、不要なボットトラフィックをブロックするのに役立ちます。 AWS WAF 保護されたリソース。を設定できます。 AWS WAF ログイン、検索、フォーム送信などのボットによって頻繁にターゲットにされる特定のリソースに対して WAF Captcha チャレンジを解決することを要求するための ルール。から生成されたレート、属性、またはラベルに基づいて、疑わしいリクエストに対して WAF Captcha チャレンジを要求することもできます。 AWS マネージドルールまたは AWS WAF Bot Control または Amazon IP 評価リスト。WAF Captcha チャレンジは人間にとってシンプルですが、ボットに対して効果的です。WAF Captcha にはオーディオバージョンが含まれており、ウェブコンテンツアクセシビリティガイドライン (WCAG) のアクセシビリティ要件を満たすように設計されています。

に戻りますAWS サービス。