"このコンテンツは古いものです。現在、このバージョンの Well-Architected Framework は、次の場所にあります。 https://docs.aws.amazon.com/ja_jp/wellarchitected/2022-03-31/framework/security.html

セキュリティ

セキュリティの柱には、このセキュリティの柱では、データ、システム、資産を保護して、クラウドテクノロジーを活用し、セキュリティを向上させる機能について説明します。が含まれます。

このセキュリティの柱では、設計原則、ベストプラクティス、質問の概要を説明します。実装に関する規範的なガイダンスについては、セキュリティの柱のホワイトペーパーを参照してください。

設計原則

クラウドでのセキュリティには、7 つの設計原則があります。

定義

クラウドでのセキュリティには、6 つのベストプラクティスの分野があります。

ワークロードを設計する前に、セキュリティに影響を与えるプラクティスを実施する必要があります。誰が何を実行できるのかという、権限の管理が必要になります。また、セキュリティインシデントを特定し、システムやサービスを保護し、データ保護によってデータの機密性と完全性を維持できる必要があります。セキュリティインシデントに対応するための、明確に定義された経験豊富なプロセスを利用できます。これらのツールやテクニックは、金銭的な損失の予防や規制遵守という目的を達成するためにも重要です。

AWS の責任共有モデルにより、このクラウドを導入した組織はセキュリティとコンプライアンスの目標を達成することができます。AWS がこのクラウドサービスの基盤となるインフラストラクチャを物理的に保護しているため、AWS のお客様はサービスを使用して自分たちの目標を達成することだけに集中できます。また、AWS クラウドは、より優れたセキュリティデータへのアクセスと、セキュリティイベントに対応する自動化された手段を提供します。

ベストプラクティス

セキュリティ

ワークロードを安全に運用するには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。組織レベルおよびワークロードレベルにおいて、運用上の優秀性で定義した要件とプロセスを抽出し、それらをすべての領域に適用します。

AWS や業界のレコメンデーションおよび脅威インテリジェンスを最新に保つことで、脅威モデルと管理の目標を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティオペレーションをスケールできます。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 1: ワークロードを安全に運用するには、どうすればよいですか?

AWS における推奨アプローチは、機能およびコンプライアンスまたはデータの機密性要件に基づいて、アカウントごとに異なるワークロードを分離することです。

Identity and Access Management

アイデンティティとアクセスの管理は情報セキュリティプログラムの重要な要素です。これにより、お客様が意図した方法で承認、認証されたユーザーおよびコンポーネントのみがリソースにアクセスできるようになります。たとえば、プリンシパル (つまり、お客様のアカウントに対してアクションをとるアカウント、ユーザー、ロール、サービス) を定義し、これらのプリンシパルに合わせたポリシーを構築し、強力な認証情報管理を実装できます。これらの権限管理機能は認証と承認の中枢となっています。

AWS では、権限管理は主に AWS Identity and Access Management (IAM) サービスによってサポートされ、このサービスがユーザーの管理や、AWS のサービスとリソースへのプログラムによるアクセスを可能にしています。詳細なポリシーを適用し、ユーザー、グループ、ロール、またはリソースに権限を割り当てることができます。また、複雑性レベル、再利用禁止、多要素認証 (MFA) の強制など、強力なパスワード設定をする機能があります。また既存のディレクトリサービスでフェデレーションを使用することもできます。AWS へのアクセス権を持つシステムを必要とするワークロードの場合、IAM により、ロール、インスタンスプロファイル、ID フェデレーション、一時的認証情報を使用したセキュアなアクセスが可能になります。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 2: ユーザー ID とマシン ID はどのように管理したらよいでしょうか?
SEC 3: 人とマシンのアクセス許可はどのように管理すればよいでしょうか?

すべてのユーザーやシステムが認証情報を共有してはいけません。ユーザーアクセス権は、パスワード要件や MFA の強制などのベストプラクティスを実践した上で、最小権限で与えられるべきです。AWS のサービスに対する API コールなど、プログラムによるアクセスを、AWS Security Token Service などが発行する、権限が制限された一時的な認証情報を使用して実行できます。

AWS では、Identity and Access Management に役立つリソースを提供しています。ベストプラクティスを学ぶには、認証情報と認証の管理人的アクセスの制御プログラムによるアクセスの制御に関するハンズオンラボを参照してください。

検出

発見的統制により、セキュリティの潜在的な脅威やインシデントを特定できます。これはガバナンスフレームワークの最重要機能であり、品質管理プロセス、法的義務またはコンプライアンス義務、脅威の特定とその対応のサポートのために、この機能を使用できます。さまざまな種類の発見的統制があります。例えば、アセットとそれらの詳細な属性のインベントリを実行することで、より効果的に意思決定やライフサイクル管理を行い、運用の基準を確立できます。また、内部監査という、情報システムに関連するコントロールの検査を行って、ポリシーと要件に準拠し、定義した条件に基づいて正確に自動化されたアラート通知を設定できます。これらのコントロールは、組織が異常なアクティビティの範囲を特定し把握するのに役立つ重要な対応機能です。

AWS では、ログとイベントを処理し、監査、自動分析、アラームを可能にするモニタリングを実施することで、発見的統制を実装できます。CloudTrail ログ、AWS API コール、CloudWatch により、メトリクスのモニタリングとアラーム設定を行い、AWS Config で設定履歴を確認できます。Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある動作や不正な動作を継続的にモニタリングし、お客様が AWS のアカウントとワークロードを保護できるようにします。サービスレベルのログも使用できます。例えば、Amazon Simple Storage Service (Amazon S3) を使用してアクセスリクエストのログをとることができます。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 4: セキュリティイベントをどのように検出し、調査していますか?

ログ管理は、セキュリティやフォレンジックから、規制や法的要件に至るまで、Well-Architected ワークロードにとって重要です。潜在的なセキュリティインシデントを特定するために、ログの分析とそれに対する対応は特に重要です。AWS には、データ保持期間を定義したり、データを保持、アーカイブ、または最終的に削除する場所を定義したりする機能があるため、これによりログ管理を簡単に実装できます。予測可能で信頼性の高いデータ処理が、さらに簡単かつ費用対効果の高いものになります。

インフラストラクチャ保護

インフラストラクチャ保護には、ベストプラクティスと組織の義務または規制上の義務に準拠するために必要な、深層防御などの制御手段が含まれています。これらの手段を用いることは、クラウドやオンプレミスの環境で滞りなく運用していくために特に重要です。

AWS では、AWS ネイティブのテクノロジーを使用する、または AWS Marketplace で入手できるパートナーの製品およびサービスを使用することで、ステートフルおよびステートレスのパケットインスペクションを実装できます。Amazon Virtual Private Cloud (Amazon VPC) を使用して、プライベートでセキュア、かつスケーラブルな環境を構築でき、この環境内でゲートウェイ、ルーティングテーブル、パブリックおよびプライベートのサブネットなど、トポロジーを定義できます。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 5: ネットワークリソースをどのように保護しますか?
SEC 6: コンピューティングリソースをどのように保護していますか?

すべての環境で複数レイヤーを防御するのが賢明です。インフラストラクチャ保護では、そのコンセプトとメソッドの多くがクラウドとオンプレミスの両方に対して有効です。境界保護の強制、イングレスおよびエグレスのモニタリングポイント、包括的なログ記録、モニタリング、アラートはすべて、効果的な情報セキュリティ計画には必須です。

AWS ユーザーは、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon EC2 Container Service (Amazon ECS) コンテナ、または AWS Elastic Beanstalk インスタンスの設定をカスタマイズあるいは強化し、その設定を維持して変更不能な Amazon Machine Image (AMI) を作成できます。そして、この AMI を使用して起動するすべての新しい仮想サーバー (インスタンス) は、Auto Scaling でトリガーするか手動で起動して、その強化した設定を引き継ぐことができます。

データ保護

システムを設計する前に、セキュリティに影響を与える基本的なプラクティスを実施する必要があります。例えば、データ分類は組織のデータを機密性レベルに基づいてカテゴリーに分類し、暗号化は認証されていないアクセスに対してデータが開示されてしまうことを防ぎます。これらのツールやテクニックは、金銭的な損失の予防や規制遵守という目的を達成するためにも重要です。

AWS では、以下のプラクティスによりデータの保護を支援します。

  • AWS のお客様は、お客様のデータの完全なコントロールを維持します。

  • AWS により、データを暗号化したり、キーの定期的なローテーションなどによってキーを管理したりすることが容易になり、そうした作業を AWS により自動化したり、お客様がメンテナンスしたりすることができます。

  • ファイルのアクセスや変更などの重要な内容を含む詳細なログを記録できます。

  • AWS には優れた弾力性を持つストレージシステムがあります。例えば、Amazon S3 Standard、S3 Standard–IA、S3 One Zone-IA、Amazon Glacier はすべて、1 年間にオブジェクトの 99.999999999% の堅牢性を実現するよう設計されています。この堅牢性レベルは、オブジェクトの予想される年平均損失の 0.000000001% に相当します。

  • 大規模データライフサイクル管理プロセスの一部であるバージョニングにより、間違って上書きしたり削除したりしてデータが損なわれることを防ぎます。

  • AWS ではリージョン間のデータの移動は発生しません。1 つのリージョンにあるコンテンツは、リージョン間の移動を可能にする機能を明示的に有効にしたり、その機能を提供するサービスを使用したりしない限りは、そのリージョンにとどまります。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 7: どのようにデータを分類していますか?
SEC 8: 保管時のデータをどのように保護していますか?
SEC 9: 転送時のデータをどのように保護していますか?

AWS には、保存中および伝送中のデータを暗号化する手段が複数あります。データの暗号化を容易にする機能を各サービスに搭載しています。例えば、Amazon S3 にはサーバー側の暗号化 (SSE) を実装しているため、簡単にデータを暗号化して保存することができます。HTTPS の暗号化と復号化のプロセス全体 (一般に SSL termination として知られているプロセス) を調整し、Elastic Load Balancing (ELB) によって処理することもできます。

インシデント対応

非常に優れた予防的、発見的統制が実装されていてもなお、組織はセキュリティインシデントの潜在的な影響に対応し、影響を緩和する手段を講じる必要があります。ワークロードのアーキテクチャは、インシデントの際にチームが効果的に対応できるかどうか、システムを隔離するかどうか、運用を既知の正常な状態に復元できるかどうかに大きく影響します。セキュリティインシデントが起きる前にツールとアクセスを実践し、本番を想定したインシデント対応を定期的に実施することで、タイムリーな調査と復旧を可能にするアーキテクチャを構築できます。

AWS では、以下のプラクティスにより効果的なインシデント対応を支援します。

  • ファイルのアクセスや変更などの重要な内容を含む詳細なログを記録できます。

  • イベントを自動的に処理することができ、AWS API の使用によって対応を自動化するツールがトリガーされます。

  • AWS CloudFormation を使用して、ツールと「クリーンルーム」を事前にプロビジョニングできます。これにより、安全で隔離された環境でフォレンジックを実行できます。

以下の質問は、セキュリティに関するこれらの考慮事項に焦点を当てています。

SEC 10: インシデントの予測、対応、復旧はどのように行いますか?

お客様のセキュリティチームにすばやくアクセス権を付与し、インスタンスの隔離を自動化するとともに、フォレンジックのデータと状態のキャプチャを自動化します。

リソース

セキュリティに関する AWS のベストプラクティスの詳細については、以下のリソースを参照してください。

Security Pillar
AWS Cloud Security
AWS Compliance
AWS Security Blog
AWS Security Overview
AWS Security Best Practices
AWS Risk and Compliance
AWS Security State of the Union
Shared Responsibility Overview