セキュリティ

セキュリティの柱には、リスク評価とリスク軽減の戦略を通してビジネスに価値をもたらす、情報、システム、アセットのセキュリティ保護機能が含まれます。

このセキュリティの柱では、設計原則、ベストプラクティス、質問の概要を説明します。実装に関する規範的なガイダンスについては、セキュリティの柱のホワイトペーパーを参照してください。

設計原則

クラウドでのセキュリティには、7 つの設計原則があります。

定義

クラウドでのセキュリティには、5 つのベストプラクティスの分野があります。

システムを設計する前に、セキュリティに影響を与えるプラクティスを実施する必要があります。誰が何を実行できるのかという、権限の管理が必要になります。また、セキュリティインシデントを特定し、システムやサービスを保護し、データ保護によってデータの機密性と完全性を維持できる必要があります。セキュリティインシデントに対応するための、明確に定義された経験豊富なプロセスを利用できます。これらのツールやテクニックは、金銭的な損失の予防や規制遵守という目的を達成するためにも重要です。

AWS の責任共有モデルにより、このクラウドを導入した組織はセキュリティとコンプライアンスの目標を達成することができます。AWS がこのクラウドサービスの基盤となるインフラストラクチャを物理的に保護しているため、AWS のお客様はサービスを使用して自分たちの目標を達成することだけに集中できます。また、AWS クラウドは、より優れたセキュリティデータへのアクセスと、セキュリティイベントに対応する自動化された手段を提供します。

ベストプラクティス

アイデンティティ管理とアクセス管理

アイデンティティ管理とアクセス管理は情報セキュリティプログラムの重要な要素であり、これによりお客様が意図した仕方で、承認され認証されたユーザーのみがリソースにアクセスできます。例えば、プリンシパル (つまり、お客様のアカウントに対してアクションをとるユーザー、グループ、サービス、ロール) を定義し、これらのプリンシパルに合わせたポリシーを構築し、強力な認証情報管理を実装できます。これらの権限管理機能は認証と承認の中枢となっています。

AWS では、権限管理は主に AWS Identity and Access Management (IAM) サービスによってサポートされ、このサービスがユーザーの管理や、AWS のサービスとリソースへのプログラムによるアクセスを可能にしています。詳細なポリシーを適用し、ユーザー、グループ、ロール、またはリソースに権限を割り当てることができます。また、複雑性レベル、再利用禁止、多要素認証 (MFA) の強制など、強力なパスワード設定をする機能があります。また既存のディレクトリサービスでフェデレーションを使用することもできます。AWS へのアクセス権を持つシステムを必要とするワークロードの場合、IAM により、ロール、インスタンスプロファイル、ID フェデレーション、一時的認証情報を使用したセキュアなアクセスが可能になります。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 1: 認証情報と認証をどのように管理していますか?
SEC 2: 人為的なアクセスをどのように制御していますか?
SEC 3: プログラムによるアクセスをどのように制御していますか?

すべてのユーザーやシステムが認証情報を共有してはいけません。ユーザーアクセス権は、パスワード要件や MFA の強制などのベストプラクティスを実践した上で、最小権限で与えられるべきです。AWS のサービスに対する API コールなど、プログラムによるアクセスを、AWS Security Token Service などが発行する、権限が制限された一時的な認証情報を使用して実行できます。

AWS では、Identity and Access Management に役立つリソースを提供しています。ベストプラクティスを学ぶには、Managing Credentials & AuthenticationControl Human AccessControl Programmatic Access のハンズオンラボを参照してください。

発見的統制

発見的統制により、セキュリティの潜在的な脅威やインシデントを特定できます。これはガバナンスフレームワークの最重要機能であり、品質管理プロセス、法的義務またはコンプライアンス義務、脅威の特定とその対応のサポートのために、この機能を使用できます。さまざまな種類の発見的統制があります。例えば、アセットとそれらの詳細な属性のインベントリを実行することで、より効果的に意思決定やライフサイクル管理を行い、運用の基準を確立できます。また、内部監査という、情報システムに関連するコントロールの検査を行って、ポリシーと要件に準拠し、定義した条件に基づいて正確に自動化されたアラート通知を設定できます。これらのコントロールは、組織が異常なアクティビティの範囲を特定し把握するのに役立つ重要な対応機能です。

AWS では、ログとイベントを処理し、監査、自動分析、アラームを可能にするモニタリングを実施することで、発見的統制を実装できます。CloudTrail ログ、AWS API コール、CloudWatch により、メトリクスのモニタリングとアラーム設定を行い、AWS Config で設定履歴を確認できます。Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある動作や不正な動作を継続的にモニタリングし、お客様が AWS のアカウントとワークロードを保護できるようにします。サービスレベルのログも使用できます。例えば、Amazon Simple Storage Service (Amazon S3) を使用してアクセスリクエストのログをとることができます。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 4: セキュリティイベントをどのように検出し、調査していますか?
SEC 5: 新しいセキュリティ脅威に対してどのように防御していますか?

ログ管理は、セキュリティやフォレンジックから規制要件や法的要件まで十分に対応できる、優れたアーキテクチャを設計するために重要です。潜在的なセキュリティインシデントを特定するために、ログの分析とそれに対する対応は特に重要です。AWS には、データ保持期間を定義したり、データを保持、アーカイブ、または最終的に削除する場所を定義したりする機能があるため、これによりログ管理を簡単に実装できます。予測可能で信頼性の高いデータ処理が、さらに簡単かつ費用対効果の高いものになります。

インフラストラクチャ保護

インフラストラクチャ保護には、ベストプラクティスと組織の義務または規制上の義務に準拠するために必要な、深層防御などの制御手段が含まれています。これらの手段を用いることは、クラウドやオンプレミスの環境で滞りなく運用していくために特に重要です。

AWS では、AWS ネイティブのテクノロジーを使用する、または AWS Marketplace で入手できるパートナーの製品およびサービスを使用することで、ステートフルおよびステートレスのパケットインスペクションを実装できます。Amazon Virtual Private Cloud (Amazon VPC) を使用して、プライベートでセキュア、かつスケーラブルな環境を構築でき、この環境内でゲートウェイ、ルーティングテーブル、パブリックおよびプライベートのサブネットなど、トポロジーを定義できます。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 6: ネットワークをどのように保護していますか?
SEC 7: コンピューティングリソースをどのように保護していますか?

すべての環境で複数レイヤーを防御するのが賢明です。インフラストラクチャ保護では、そのコンセプトとメソッドの多くがクラウドとオンプレミスの両方に対して有効です。境界保護の強制、イングレスおよびエグレスのモニタリングポイント、包括的なログ記録、モニタリング、アラートはすべて、効果的な情報セキュリティ計画には必須です。

AWS ユーザーは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon EC2 Container Service (Amazon ECS) コンテナ、または AWS Elastic Beanstalk インスタンスの設定をカスタマイズあるいは強化し、その設定を維持して変更不能な Amazon Machine Image (AMI) を作成できます。そして、この AMI を使用して起動するすべての新しい仮想サーバー (インスタンス) は、Auto Scaling でトリガーするか手動で起動して、その強化した設定を引き継ぐことができます。

データ保護

システムを設計する前に、セキュリティに影響を与える基本的なプラクティスを実施する必要があります。例えば、データ分類は組織のデータを機密性レベルに基づいてカテゴリーに分類し、暗号化は認証されていないアクセスに対してデータが開示されてしまうことを防ぎます。これらのツールやテクニックは、金銭的な損失の予防や規制遵守という目的を達成するためにも重要です。

AWS では、以下のプラクティスによりデータの保護を支援します。

  • AWS のお客様は、お客様のデータの完全なコントロールを維持します。

  • AWS により、データを暗号化したり、キーの定期的なローテーションなどによってキーを管理したりすることが容易になり、そうした作業を AWS により自動化したり、お客様がメンテナンスしたりすることができます。

  • ファイルのアクセスや変更などの重要な内容を含む詳細なログを記録できます。

  • AWS には優れた弾力性を持つストレージシステムがあります。例えば、Amazon S3 Standard、S3 Standard–IA、S3 One Zone-IA、Amazon Glacier はすべて、1 年間にオブジェクトの 99.999999999% の堅牢性を実現するよう設計されています。この堅牢性レベルは、オブジェクトの予想される年平均損失の 0.000000001% に相当します。

  • 大規模データライフサイクル管理プロセスの一部であるバージョニングにより、間違って上書きしたり削除したりしてデータが損なわれることを防ぎます。

  • AWS ではリージョン間のデータの移動は発生しません。1 つのリージョンにあるコンテンツは、リージョン間の移動を可能にする機能を明示的に有効にしたり、その機能を提供するサービスを使用したりしない限りは、そのリージョンにとどまります。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 8: データをどのように分類していますか?
SEC 9: 保管中のデータをどのように保護していますか?
SEC 10: 伝送中のデータをどのように保護していますか?

AWS には、保存中および伝送中のデータを暗号化する手段が複数あります。データの暗号化を容易にする機能を各サービスに搭載しています。例えば、Amazon S3 にはサーバー側の暗号化 (SSE) を実装しているため、簡単にデータを暗号化して保存することができます。HTTPS の暗号化と復号化のプロセス全体 (一般に SSL termination として知られているプロセス) を調整し、Elastic Load Balancing (ELB) によって処理することもできます。

インシデント対応

非常に優れた予防的、発見的統制が実装されていてもなお、組織はセキュリティインシデントの潜在的な影響に対応し、影響を緩和する手段を講じる必要があります。ワークロードのアーキテクチャは、インシデントの際にチームが効果的に対応できるかどうか、システムを隔離するかどうか、運用を既知の正常な状態に復元できるかどうかに大きく影響します。セキュリティインシデントが起きる前にツールとアクセスを実践し、本番を想定したインシデント対応を定期的に実施することで、タイムリーな調査と復旧を可能にするアーキテクチャを構築できます。

AWS では、以下のプラクティスにより効果的なインシデント対応を支援します。

  • ファイルのアクセスや変更などの重要な内容を含む詳細なログを記録できます。

  • イベントを自動的に処理することができ、AWS API の使用によって対応を自動化するツールがトリガーされます。

  • AWS CloudFormation を使用して、ツールと「クリーンルーム」を事前にプロビジョニングできます。これにより、安全で隔離された環境でフォレンジックを実行できます。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 11: セキュリティインシデントにどのように対応していますか?

お客様の情報セキュリティチームにすばやくアクセス権を付与し、インスタンスの隔離を自動化するとともに、フォレンジックのデータと状態のキャプチャを自動化します。

主要な AWS のサービス

セキュリティに不可欠なAWS のサービスは AWS Identity and Access Management (IAM) であり、これにより、AWS のサービスとリソースへのユーザーアクセスを保護して管理できます。。以下のサービスと機能では、セキュリティの 5 つの分野がサポートされます。

リソース

セキュリティに関する AWS のベストプラクティスの詳細については、以下のリソースを参照してください。

Security Pillar
AWS Cloud Security
AWS Compliance
AWS Security Blog
AWS Security Overview
AWS Security Best Practices
AWS Risk and Compliance
AWS Security State of the Union
Shared Responsibility Overview