翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のセキュリティのベストプラクティス AWS IoT SiteWise
このトピックには、 のセキュリティのベストプラクティスが含まれています AWS IoT SiteWise。
## OPC UA サーバーで認証情報を使用する
OPC UA サーバーへの接続には認証情報を要求します。これを行うには、サーバーのドキュメントを参照してください。次に、SiteWise Edge ゲートウェイが OPC UA サーバーに接続できるようにするには、SiteWise Edge ゲートウェイにサーバー認証シークレットを追加します。詳細については、「[SiteWise Edge のデータソース認証を設定する](configure-source-authentication-ggv2.md)」を参照してください。
## OPC UA サーバーに暗号化通信モードを使用
SiteWise Edge ゲートウェイの OPC UA ソースを設定する際に、非推奨の暗号化メッセージセキュリティモードを選択します。これにより、OPC UA サーバーから SiteWise Edge ゲートウェイに移動する際の産業用データのセキュリティを確保することができます。詳細については、「[ローカルネットワーク経由で転送されるデータ](local-encryption-in-transit.md)」および「[SiteWise Edge で OPC UA ソースを設定する](configure-opcua-source.md)」を参照してください。
## コンポーネントを最新の状態に保つ。
SiteWise Edge ゲートウェイを使用してサービスにデータを取り込む場合は、SiteWise Edge ゲートウェイの環境を設定および保守する責任があります。これには、ゲートウェイのシステムソフトウェア、 AWS IoT Greengrass ソフトウェアとコネクタの最新バージョンへのアップグレードが含まれます。
**注記**
AWS IoT SiteWise Edge コネクタは、シークレットをファイルシステムに保存します。これらのシークレットは、SiteWise Edge ゲートウェイ内にキャッシュされたデータを表示できるユーザーを制御します。SiteWise Edge ゲートウェイを実行しているシステムのディスクまたはファイルシステムの暗号化を有効にすることを強くお勧めします。
AWS IoT SiteWise コンソールでコンポーネントをアップグレードする方法については、「」を参照してください[SiteWise Edge ゲートウェイコンポーネントパックのバージョンを変更する](manage-gateways-ggv2.md#manage-gateway-update-packs)。
## SiteWise Edge ゲートウェイのファイルシステムの暗号化
SiteWise Edge ゲートウェイを暗号化して保護することにより、産業用データが SiteWise Edge ゲートウェイを通過するときに保護されます。SiteWise Edge ゲートウェイにハードウェアセキュリティモジュールがある場合は、SiteWise Edge ゲートウェイを保護する AWS IoT Greengrass ように を設定できます。詳細については、*[AWS IoT Greengrass Version 1 Developer Guide]* (デベロッパーガイド) の[[Hardware security integration]](https://docs.aws.amazon.com/greengrass/v1/developerguide/hardware-security.html) (ハードウェアセキュリティの統合) を参照してください。ハードウェアセキュリティモジュールがない場合は、オペレーティングシステムのドキュメントを参照して、ファイルシステムを暗号化して保護する方法を確認してください。
## エッジ設定へのセキュアなアクセス。
エッジコンソールアプリケーションのパスワードや SiteWise Monitor アプリケーションのパスワードは共有しないでください。このパスワードは、誰でも見られる場所に置かないでください。パスワードに適切な有効期限を設定することで、健全なパスワードローテーションポリシーを実施する。
## Siemens Industrial Edge Management のデータの保護
AWS IoT SiteWise Edge と共有することを選択するデバイスデータは、Siemens IEM Databus設定トピックで決定されます。SiteWise Edge と共有するトピックを選択することにより、トピックレベルのデータを AWS IoT SiteWiseと共有します。Siemens Industrial Edge Marketplace は独立したマーケットプレイスであり、 とは別のものです AWS。共有データを保護するために、ユーザーが Siemens Secured Storage を使用しない限り、SiteWise Edge アプリケーションは実行されません。詳細については、Siemens ドキュメントの「[セキュアストレージ](https://docs.eu1.edge.siemens.cloud/build_a_device/device_building/development/development/secure-storage.html)」を参照してください。
## SiteWise Monitor ユーザーへの最小限のアクセス許可の付与
最小アクセス許可の原則に従って、ポータルのユーザーのアクセスポリシーのアクセス許可には最小限のものを使用します。
+ ポータルを作成する場合は、そのポータルに必要な最小限のアセットを許可するロールを定義します。詳細については、「[のサービスロールを使用する AWS IoT SiteWise Monitor](monitor-service-role.md)」を参照してください。
+ ポータル管理者がプロジェクトを作成して共有する場合は、そのプロジェクトに必要な最小限のアセットを使用します。
+ ポータルやプロジェクトにアクセスする必要がなくなった ID は、そのリソースから削除する。その ID が組織に適用されなくなった場合は、ID ストアからその ID を削除してください。
最小アクセス許可の原則のベストプラクティスは、IAM ロールにも該当します。詳細については、「[ポリシーに関するベストプラクティス](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)」を参照してください。
## 機密情報を公開しない
認証情報やその他の機密情報 (個人を特定できる情報 (PII) など) のログへの記録を防止する必要があります。SiteWise Edge ゲートウェイのローカルログへのアクセスを経由する場合でも、ルート権限が必要であり、CloudWatch Logs へのアクセスには IAM アクセス許可が必要ですが、次の防止策を実施することをお勧めします。
+ アセットやモデルの名前、説明、プロパティに機密情報を使用しない。
+ SiteWise Edge ゲートウェイやソース名に機密情報を使用しないでください。
+ ポータル、プロジェクト、ダッシュボードの名前や説明に機密情報を使用しない。
## AWS IoT Greengrass セキュリティのベストプラクティスに従う
SiteWise Edge ゲートウェイ AWS IoT Greengrass のセキュリティのベストプラクティスに従います。詳細については、*[AWS IoT Greengrass Version 1 Developer Guide]* (デベロッパーガイド) の [[Security best practices]](https://docs.aws.amazon.com/greengrass/v1/developerguide/security-best-practices.html) (セキュリティベストプラクティス) を参照してください。
## 関連情報
+ *[AWS IoT Developer Guide]* (デベロッパーガイド) の [[Security best practices]](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html) (セキュリティベストプラクティス)。
+ [Ten security golden rules for IoT solutions](https://aws.amazon.com/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/) (ブログ記事)