翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Connect でのセキュリティのベストプラクティス
<a name="security-best-practices"></a>

Amazon Connect には、独自のセキュリティポリシーを策定および実装する際に考慮すべき、さまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを提供するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるため、処方箋ではなく、あくまで有用な検討事項とお考えください。

**Topics**
+ [Amazon Connect での予防的セキュリティのベストプラクティス](#bp-security-profiles)
+ [Amazon Connect Detective セキュリティのベストプラクティス](#bp-security-detective)
+ [Amazon Connect チャットセキュリティのベストプラクティス](#bp-security-chat)
+ [Amazon Connect WebRTC セキュリティのベストプラクティス](#bp-webrtc-security)

## Amazon Connect での予防的セキュリティのベストプラクティス
<a name="bp-security-profiles"></a>
+ すべてのプロファイル許可ができるだけ制限されていることを確認します。ユーザーのロールに絶対に必要なリソースのみへのアクセスを許可します。例えば、Amazon Connect でユーザーの作成、読み取り、または更新を行う許可をエージェントに付与しないでください。
+ 多要素認証 (MFA) が SAML 2.0 ID プロバイダーまたは Radius サーバー (ユースケースに適している場合) を介して設定されていることを確認します。MFA が設定されると、Amazon Connect のログインページには、(2 つ目の要素を表示している) 3 つ目のテキストボックスが表示されます。
+ ID 管理に Directory Service または SAML ベースの認証を使用して既存のディレクトリを使用する場合は、ユースケースに適したすべてのセキュリティ要件に従ってください。
+  AWS コンソールのインスタンスページの**緊急アクセス URL のログイン**は、日常的な使用ではなく、緊急事態にのみ使用します。詳細については、「[Amazon Connect 管理ウェブサイトへの緊急ログイン](emergency-admin-login.md)」を参照してください。

### サービスコントロールポリシー (SCP) を使用する
<a name="use-scp"></a>

サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。SCP は、影響を受けるアカウントのユーザーおよびロールに対しアカウントの管理者が委任するアクションのために、ガードレールを定義するか制限を設定します。SCP を使用すると、Amazon Connect ワークロードに関連する重要なリソースを保護できます。

#### サービスコントロールポリシーを設定して重要なリソースの削除を防止する
<a name="set-scp"></a>

SAML 2.0 ベースの認証を使用していて、Amazon Connect AWS ユーザーの認証に使用される IAM ロールを削除すると、ユーザーは Amazon Connect インスタンスにログインできなくなります。新しいロールに関連付けるには、ユーザーを削除して再作成する必要があります。これにより、対象のユーザーに関連付けられているすべてのデータが削除されます。

重要なリソースが誤って削除されるのを防ぎ、Amazon Connect インスタンスの可用性を保護するために、[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) を設定し追加のコントロールとして使用します。

以下は、Amazon Connect インスタンスと関連するロールの削除を防ぐために、 AWS アカウント、組織単位、または組織ルートに適用できる SCP の例です。

------
#### [ JSON ]

****  

```
{    
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/{{ConnectUserRole}}"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
         "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{InstanceId}}"
      ]
    }
  ]
}
```

------

## Amazon Connect Detective セキュリティのベストプラクティス
<a name="bp-security-detective"></a>

ログ記録とモニタリングは、コンタクトセンターの可用性、信頼性、そしてパフォーマンスにとって重要な要素です。[Amazon Connect のフローから関連情報を CloudWatch に記録](contact-flow-logs.md)し、その情報に基づいて[アラートと通知を作成](contact-flow-log-alerts.md)する必要があります。

ログの保持要件とライフサイクルポリシーを早期に定義し、可能になったらすぐにログファイルをコスト効率の良いストレージロケーションに移動するための、計画を策定しておきます。CloudTrail への Amazon Connect パブリック API ログの詳細については、「[を使用した Amazon Connect API コールのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)」を参照してください。CloudTrail のログに基づいて、アクションを確認および自動化します。

ログデータの長期保存とアーカイブには Amazon S3 の使用が推奨されます。これは特に、ログデータをネイティブ形式で監査可能にすることが求められるような、コンプライアンスプログラムを持つ組織に適しています。ログデータが Amazon S3 バケットに格納されたら、ライフサイクルルールを定義することで保持ポリシーを自動的に適用します。これらの格納されたオブジェクトは、Amazon S3 Standard - 低頻度アクセス (標準-IA) や Amazon Glacier などの、費用対効果の高い他のストレージクラスに移動します。

 AWS クラウドは、高度なパートナーサービスとセルフマネージド型の集中ロギングソリューションの両方をサポートする柔軟なインフラストラクチャとツールを提供します。これのソリューションには、Amazon OpenSearch Service や Amazon CloudWatch Logs などが含まれます。

顧客の要件に応じて Amazon Connectのフローをカスタマイズすることで、着信問い合わせの不正の検出とその防止策を実装できます。例えば、着信問い合わせを DynamoDB の過去の問い合わせアクティビティと照合して、拒否リストに登録されている着信を切断するなどのアクションを実行できます。

## Amazon Connect チャットセキュリティのベストプラクティス
<a name="bp-security-chat"></a>

Amazon Connect Participant Service と直接統合 (または Amazon Connect Chat Java Script ライブラリを使用) し、WebSocket またはストリーミングエンドポイントを使用してフロントエンドアプリケーションまたはウェブサイトのメッセージを受信する場合、アプリケーションを DOM ベースの XSS (クロスサイトスクリプティング) 攻撃から保護する必要があります。

以下のセキュリティ推奨事項は、XSS 攻撃からの保護に役立ちます。
+ 悪質なスクリプトの実行を防ぐために、適切な出力エンコーディングを実装します。
+ DOM を直接変更しないでください。例えば、 `innerHTML` を使用してチャットレスポンスコンテンツをレンダリングしないでください。XSS 攻撃につながる悪意のある Javascript コードが含まれている可能性があります。React などのフロントエンドライブラリを使用して、チャットレスポンスに含まれる実行可能コードをエスケープおよびサニタイズします。
+ コンテンツセキュリティポリシー (CSP) を実装して、アプリケーションがスクリプト、スタイル、その他のリソースをロードできるソースを制限します。これにより、保護のレイヤーが追加されます。

## Amazon Connect WebRTC セキュリティのベストプラクティス
<a name="bp-webrtc-security"></a>

WebRTC とチャットでの両方のコンタクトでは、参加者に参加者トークンが発行されます。参加者トークンは、コンタクトセッション内で一意に識別するベアラートークンです。このトークンを所有するとアクセス許可が付与されるため、トークンの公開はなりすまし攻撃につながる可能性があります。したがって、このトークンを保護することが重要です。

以下のセキュリティ推奨事項は、なりすまし攻撃からの保護に役立ちます。
+ **トークンの発行前にユーザーを認証します**。参加者トークンをクライアントまたは外部サービスに供給する前に、堅牢な認証と認可チェックが実行されていることを確認します。
+ **トークンの露出を最小限に抑えます**。参加者トークンをログに記録したり、URL に埋め込んだりしないでください。すべてのトークン交換に セキュアな経路 (HTTPS/TLS) を使用します。
+ **トークンの漏洩にすばやく対応します**。トークンの漏洩が検出された場合は、不正アクセスを防ぐために、関連するコンタクトをすぐに終了または停止します。
+ **最小特権の原則を使用します**。トークンの有効期間を可能な限り制限し、トークンが必要な期間のみ有効になるようにします。
+ **モニタリングと監査**。トークンの使用状況とアクセスパターンを追跡して、異常や悪用の可能性を検出します。