セキュリティに関するよくある質問 - AMS Accelerate ユーザーガイド
AMS オペレーションエンジニアはいつ環境にアクセスしますか?AMS オペレーションエンジニアは、アカウントにアクセスするときにどのようなロールを引き受けますか?AMS オペレーションエンジニアが自分のアカウントにアクセスする方法 AMS マネージド AWS アカウントで AMS によって行われた変更を追跡するにはどうすればよいですか?AMS オペレーションエンジニアが自分のアカウントにアクセスするためのプロセスコントロールは何ですか?特権アクセスはどのように管理されますか?AMS オペレーションエンジニアは MFA を使用していますか?AMS 従業員が組織を離れたり、職務を変更したりした場合、アクセスはどうなりますか?アカウントへの AMS オペレーションエンジニアのアクセスを管理するアクセスコントロールは何ですか?AMS はルートユーザーアクセスをどのようにモニタリングしますか?AMS はセキュリティインシデントにどのように対応しますか?AMS はどのような業界標準の認定とフレームワークに準拠していますか?セキュリティ証明書、フレームワーク、コンプライアンスに関する最新のレポートにアクセスするにはどうすればよいですか AWS?AMS は、AMS 機能のさまざまな側面のリファレンスアーキテクチャ図を共有していますか?AMS は、アカウントにアクセスするユーザーと、アクセスのためのビジネスニーズをどのように追跡しますか?AMS エンジニアは、Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift などの AWS データストレージサービスに保存されているデータにアクセスできますか?AMS エンジニアは、Amazon EBS、Amazon EFS、Amazon FSx に保存されている顧客データにアクセスできますか?環境に対する高い権限を持つオートメーションロールのアクセスは、どのように制限または制御されますか?AMS は、自動化ロールの AWS Well-Architected フレームワークで提唱されている最小特権の原則をどのように実装していますか?オートメーションロールに関連する不正アクセスの試みや疑わしいアクティビティを検出するために、どのようなログ記録およびモニタリングシステムが使用されますか?オートメーションインフラストラクチャに関するセキュリティインシデントや違反はどのように処理され、どのようなプロトコルが迅速な対応と緩和に役立ちますか?オートメーションインフラストラクチャでは、定期的なセキュリティ評価、脆弱性スキャン、侵入テストを実施していますか?オートメーションインフラストラクチャへのアクセスは、承認された担当者のみに制限されるのですか?セキュリティ標準を維持し、オートメーションパイプラインでの不正アクセスやデータ侵害を防ぐために、どのような対策が実装されていますか?特権のエスカレーションやアクセスの誤用を検出して AMS チームにプロアクティブに警告するために、アクセスログ記録または監査ログ記録に対して異常検出またはモニタリングが有効になっていますか?AMS マネージドアカウントから抽出される顧客データの種類と、その使用および保存方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティに関するよくある質問

AMS は、グローバルオペレーションセンターを通じて 24 時間 365 follow-the-sunサポートを提供します。専有 AMS オペレーションエンジニアは、ダッシュボードとインシデントキューを積極的にモニタリングします。通常、AMS は自動化を通じてアカウントを管理します。特定のトラブルシューティングやデプロイの専門知識を必要とするまれな状況では、AMS オペレーションエンジニアがアカウントにアクセスすることがあります AWS 。

以下は、AMS Accelerate が AMS オペレーションエンジニアまたはオートメーションがアカウントにアクセスするときに使用するセキュリティのベストプラクティス、コントロール、アクセスモデル、監査メカニズムに関する一般的な質問です。

AMS オペレーションエンジニアはいつ環境にアクセスしますか?

AMS オペレーションエンジニアは、アカウントまたはインスタンスに永続的にアクセスできません。顧客アカウントへのアクセスは、アラート、インシデント、変更リクエストなどの正当なビジネスユースケースに対してのみ AMS オペレーターに付与されます。アクセスは AWS CloudTrail ログに記録されます。

アクセスの根拠、トリガー、トリガーイニシエータについては、「」を参照してくださいAMS カスタマーアカウントアクセストリガー

AMS オペレーションエンジニアは、アカウントにアクセスするときにどのようなロールを引き受けますか?

環境への人的介入を必要とするまれなケース (約 5%) では、AMS オペレーションエンジニアはデフォルトの読み取り専用アクセスロールを使用してアカウントにログインします。デフォルトのロールは、Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift、Amazon ElastiCache など、データストアに一般的に保存されているコンテンツにアクセスできません。

AMS オペレーションエンジニアとシステムがアカウントでサービスを提供するために必要なロールのリストについては、「」を参照してくださいAMS カスタマーアカウントアクセス IAM ロール

AMS オペレーションエンジニアが自分のアカウントにアクセスする方法

カスタマーアカウントにアクセスするために、AMS オペレーションエンジニアは AWS 内部 AMS アクセスサービスを使用します。この内部サービスは、アカウントへのアクセスが安全で監査されるように、安全なプライベートチャネルを介してのみ使用できます。

  1. AMS オペレーションエンジニアは、内部 AMS アクセスサービス認証と 2 要素認証を使用します。また、オペレーションエンジニアは、 AWS アカウントへのアクセスの必要性を概説するビジネス上の根拠 (インシデントチケットまたはサービスリクエスト ID) を提供する必要があります。

  2. オペレーションエンジニアの認可に基づいて、AMS アクセスサービスは、適切なロール (only/Operator/Admin) と AWS コンソールへのログイン URL をエンジニアに提供します。アカウントへのアクセスは有効期間が短く、期限があります。

  3. Amazon EC2 インスタンスにアクセスするために、AMS オペレーションエンジニアはブローカーと同じ内部 AMS アクセスサービスを使用します。アクセスが許可されると、AMS オペレーションエンジニアは AWS Systems Manager Session Manager を使用して、存続期間の短いセッション認証情報でインスタンスにアクセスします。

    Windows インスタンスの RDP アクセスを提供するために、オペレーションエンジニアは Amazon EC2 Systems Manager を使用してインスタンスにローカルユーザーを作成し、インスタンスへのポート転送を確立します。オペレーションエンジニアは、インスタンスへの RDP アクセスにローカルユーザー認証情報を使用します。ローカルユーザーの認証情報は、セッションの終了時に削除されます。

次の図は、AMS オペレーションエンジニアがアカウントにアクセスするために使用するプロセスの概要を示しています。

AMS Accelerate コンソールのアクセス方法。

AMS マネージド AWS アカウントで AMS によって行われた変更を追跡するにはどうすればよいですか?

アカウントアクセス

自動化または AMS Accelerate オペレーションチームによる変更を追跡しやすくするために、AMS は Amazon Athena コンソールと AMS Accelerate ログで変更レコード SQL インターフェイスを提供します。これらのリソースは、以下の情報を提供します。

  • アカウントにアクセスしたユーザー。

  • アカウントがいつアクセスされたか。

  • アカウントへのアクセスに使用された権限。

  • アカウントで AMS Accelerate によってどのような変更が行われたか。

  • アカウントで変更が行われた理由。

リソース設定

CloudTrail ログを表示して、過去 90 日間の AWS リソースの設定を追跡します。設定が 90 日より古い場合は、Amazon S3 のログにアクセスします。

インスタンスログ

Amazon CloudWatch エージェントはオペレーティングシステムのログを収集します。CloudWatch ログを表示して、オペレーティングシステムがサポートするログインログやその他のアクションログを確認します。

詳細については、「AMS Accelerate アカウントの変更の追跡」を参照してください。

AMS オペレーションエンジニアが自分のアカウントにアクセスするためのプロセスコントロールは何ですか?

AMS に参加する前に、オペレーションエンジニアは犯罪の身元調査を行います。AMS エンジニアはお客様のインフラストラクチャを管理するため、毎年のバックグラウンドチェックも必須です。エンジニアがバックグラウンドチェックに失敗すると、アクセスは取り消されます。

すべての AMS オペレーションエンジニアは、リソースへのアクセスを許可する前に、インフラストラクチャセキュリティ、データセキュリティ、インシデント対応などの必須のセキュリティトレーニングを完了する必要があります。

特権アクセスはどのように管理されますか?

ユーザーのサブセットは、追加のトレーニングを完了し、昇格されたアクセス権を維持する必要があります。アクセスと使用状況は検査および監査されます。AMS は、特権アクセスを例外的な状況、または最小特権アクセスがリクエストを満たせない状況に制限します。特権アクセスも時間制限があります。

AMS オペレーションエンジニアは MFA を使用していますか?

はい。すべてのユーザーは、MFA とプレゼンス証明を使用してサービスを提供する必要があります。

AMS 従業員が組織を離れたり、職務を変更したりした場合、アクセスはどうなりますか?

お客様のアカウントとリソースへのアクセスは、内部グループメンバーシップを通じてプロビジョニングされます。メンバーシップは、特定の職務ロール、レポートマネージャー、AMS での雇用ステータスなど、厳格な基準に基づいています。オペレーションエンジニアのジョブファミリーが変更されるか、そのユーザー ID が無効になっている場合、アクセスは取り消されます。

アカウントへの AMS オペレーションエンジニアのアクセスを管理するアクセスコントロールは何ですか?

環境へのアクセスに「知る必要がある」原則と「最小特権」原則を適用するには、複数の技術的コントロールレイヤーがあります。アクセスコントロールのリストを次に示します。

  • カスタマーアカウントとリソースにアクセスするには、すべてのオペレーションエンジニアが特定の内部 AWS グループの一部である必要があります。グループメンバーシップは、厳密に知る必要性に基づいており、事前定義された基準で自動化されています。

  • AMS は、環境への「非永続化」アクセスを実践します。つまり、AMS オペレーションによる AWS アカウントへのアクセスは、有効期間の短い認証情報によるjust-in-time」です。アカウントへのアクセスは、社内のビジネスケースの根拠 (サービスリクエスト、インシデント、変更管理リクエストなど) が送信およびレビューされた後にのみ提供されます。

  • AMS は最小特権の原則に従います。したがって、承認されたオペレーションエンジニアはデフォルトで読み取り専用アクセスを引き受けます。書き込みアクセスは、インシデントまたは変更リクエストのために環境の変更が必要な場合にのみ、エンジニアが使用します。

  • AMS は、「ams」プレフィックスを使用してアカウントをモニタリングおよび管理する、標準で簡単に識別できる AWS Identity and Access Management ロールを使用します。すべてのアクセスは、監査のためにログイン AWS CloudTrail されます。

  • AMS は、自動バックエンドツールを使用して、変更実行の顧客情報検証フェーズ中にアカウントへの不正な変更を検出します。

AMS はルートユーザーアクセスをどのようにモニタリングしますか?

ルートアクセスは常にインシデント対応プロセスをトリガーします。AMS は Amazon GuardDuty 検出を使用してルートユーザーのアクティビティをモニタリングします。GuardDuty がアラートを生成すると、AMS はさらに調査するためのイベントを作成します。AMS は、予期しないルートアカウントアクティビティが検出されると通知し、AMS セキュリティチームが調査を開始します。

AMS はセキュリティインシデントにどのように対応しますか?

AMS は、Amazon GuardDuty、Amazon Macie などの検出サービス、およびお客様が報告したセキュリティ問題から生成されたセキュリティイベントを調査します。AMS はセキュリティ対応チームと協力して、セキュリティインシデント対応 (SIR) プロセスを実行します。AMS SIR プロセスは、NIST SP 800-61 Rev. 2、Computer Security Incident Handling Guide フレームワークに基づいており、24/7/365 follow-the-sunセキュリティレスポンスを提供します。AMS はお客様と協力して、セキュリティインシデントを迅速に分析して封じ込めます。

AMS はどのような業界標準の認定とフレームワークに準拠していますか?

他の AWS サービスと同様に、AWS Managed Services は OSPAR、HIPAA、HITRUST、GDPR、SOC*、ISO*、FedRAMP (Medium/High)、IRAP、PCI の認定を受けています。 AWS に沿った顧客コンプライアンス証明書、規制、フレームワークの詳細については、「AWS Compliance」を参照してください。

セキュリティガードレール

AWS Managed Services は、複数のコントロールを使用して情報アセットを保護し、 AWS インフラストラクチャを安全に保つのに役立ちます。AMS Accelerate は、アカウントがセキュリティと運用の整合性に関する業界標準に準拠していることを確認するために、 AWS Config ルールと修復アクションのライブラリを維持します。 AWS Config ルールは、記録されたリソースの設定変更を継続的に追跡します。変更がルールの条件に違反すると、AMS はその検出結果を報告します。違反の重大度に応じて、違反を自動またはリクエストで修正できます。

AMS は AWS Config ルールを使用して、以下の規格の要件を満たすのに役立ちます。

  • Center for Internet Security (CIS)

  • 米国国立標準技術研究所 (NIST) クラウドセキュリティフレームワーク (CSF)

  • Health Insurance Portability and Accountability Act (HIPAA)

  • Payment Card Industry (PCI) データセキュリティ標準 (DSS)

詳細については、AMS Accelerate のセキュリティ管理を参照してください。

セキュリティ証明書、フレームワーク、コンプライアンスに関する最新のレポートにアクセスするにはどうすればよいですか AWS?

AWS サービスの現在のセキュリティおよびコンプライアンスレポートは、次の方法で確認できます。

  • を使用してAWS Artifact、 AWS サービスのセキュリティ、可用性、機密性に関する最新のレポートをダウンロードすることができます。

  • グローバルコンプライアンスフレームワークに準拠している AWS Managed Services を含むほとんどの AWS サービスのリストについては、「」を参照してくださいhttps://aws.amazon.com/compliance/services-in-scope/。たとえば、PCI を選択し、AWS Managed Servicesを検索します。

    「AMS」を検索して、AMS マネージド AWS アカウントから AMS 固有のセキュリティアーティファクトを検索できます。AWS Managed Services SOC 3 の対象です。

  • AWS SOC 2 (System and Organizations Controls) レポートが AWS Artifact リポジトリに発行されます。このレポートは、米国認定会計士協会 (AICPA) TSP セクション 100、Trust Services Criteria のセキュリティ、可用性、機密性の基準を満たす AWS コントロールを評価します。

AMS は、AMS 機能のさまざまな側面のリファレンスアーキテクチャ図を共有していますか?

AMS リファレンスアーキテクチャを表示するには、AWS Managed Services for Proactive Monitoring PDF をダウンロードします。

AMS は、アカウントにアクセスするユーザーと、アクセスのためのビジネスニーズをどのように追跡しますか?

サービスの継続性とアカウントのセキュリティをサポートするために、AMS は、プロアクティブなヘルスまたはメンテナンス、ヘルスまたはセキュリティイベント、計画されたアクティビティ、または顧客のリクエストに応答してのみ、アカウントまたはインスタンスにアクセスします。アカウントへのアクセスは、AMS Accelerate のアクセスモデルで説明されているように、AMS プロセスを通じて承認されます。これらの認可フローには、意図しないアクセスや不適切なアクセスを防ぐためのガードレールが含まれています。アクセスフローの一環として、AMS はビジネスニーズを認可システムに提供します。このビジネスニーズは、AMS で開いたケースなど、アカウントに関連付けられた作業項目である場合があります。または、ビジネスニーズは、パッチソリューションなどの承認されたワークフローである可能性があります。すべてのアクセスには、アクセスリクエストをビジネスニーズに合わせるために、ビジネスルールに基づいて内部 AMS システムによってリアルタイムで検証、検証、承認される根拠が必要です。

AMS オペレーションエンジニアには、有効なビジネスニーズがないとアカウントにアクセスするためのパスは与えられません。すべてのアカウントアクセスおよび関連するビジネスニーズは、 AWS アカウント内の AWS CloudTrail エントリに出力されます。これにより、完全な透明性が得られ、独自の監査と検査を実行する機会が得られます。検査に加えて、AMS は自動検査を行い、必要に応じてアクセスリクエストの手動検査を行い、ツールと人間によるアクセスの監査を実行して異常なアクセスを確認します。

AMS エンジニアは、Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift などの AWS データストレージサービスに保存されているデータにアクセスできますか?

AMS エンジニアは、データストレージに一般的に使用される AWS サービスに保存されている顧客コンテンツにアクセスできません。これらのサービスのデータの読み取り、書き込み、変更、または削除に使用される AWS APIs へのアクセスは、AMS エンジニアアクセスに使用される IAM ロールに関連付けられた明示的な IAM 拒否ポリシーによって制限されます。さらに、内部 AMS ガードレールとオートメーションにより、AMS オペレーションエンジニアは拒否条件を削除または変更できなくなります。

AMS エンジニアは、Amazon EBS、Amazon EFS、Amazon FSx に保存されている顧客データにアクセスできますか?

AMS エンジニアは、管理者として Amazon EC2 インスタンスにログインできます。オペレーティングシステム (OS) の問題やパッチ障害など、特定のシナリオでの修復には管理者アクセスが必要です。AMS エンジニアは通常、検出された問題を修正するためにシステムボリュームにアクセスします。ただし、AMS エンジニアのアクセスは、システムボリュームに制限または制限されません。

環境に対する高い権限を持つオートメーションロールのアクセスは、どのように制限または制御されますか?

ams-access-admin ロールは AMS オートメーションでのみ使用されます。これらのオートメーションは、テレメトリ、ヘルス、セキュリティのデータ収集のために AMS が環境にデプロイして運用機能を実行するために必要なリソースをデプロイ、管理、維持します。AMS エンジニアは自動化ロールを引き受けることができず、内部システムのロールマッピングによって制限されます。実行時に、AMS はスコープダウンされた最小特権セッションポリシーをすべてのオートメーションに動的に適用します。このセッションポリシーは、オートメーションの機能とアクセス許可を制限します。

AMS は、自動化ロールの AWS Well-Architected フレームワークで提唱されている最小特権の原則をどのように実装していますか?

実行時に、AMS はスコープダウンされた最小特権のセッションポリシーをすべてのオートメーションに適用します。このスコープダウンされたセッションポリシーは、自動化の機能とアクセス許可を制限します。IAM リソースを作成するアクセス許可を持つセッションポリシーには、アクセス許可の境界をアタッチする必要もあります。このアクセス許可の境界により、特権のエスカレーションリスクが軽減されます。すべてのチームは、そのチームによってのみ使用されるセッションポリシーをオンボードします。

オートメーションロールに関連する不正アクセスの試みや疑わしいアクティビティを検出するために、どのようなログ記録およびモニタリングシステムが使用されますか?

AWS は、 AWS サービスチームによる内部使用のためのコアログアーカイブ機能を提供する一元化されたリポジトリを維持します。これらのログは、スケーラビリティ、耐久性、可用性を高めるために Amazon S3 に保存されます。 AWS サービスチームは、中央ログサービスでサービスログを収集、アーカイブ、表示できます。

の本番稼働用ホスト AWS は、マスターベースラインイメージを使用してデプロイされます。ベースラインイメージには、セキュリティ上の理由からログ記録とモニタリングを含む標準的な設定と関数のセットが用意されています。これらのログは、 AWS セキュリティインシデントが疑われる場合に根本原因分析のためにセキュリティチームによって保存され、アクセス可能です。

特定のホストのログは、そのホストを所有するチームが利用できます。チームは、運用分析とセキュリティ分析のためにログを検索できます。

オートメーションインフラストラクチャに関するセキュリティインシデントや違反はどのように処理され、どのようなプロトコルが迅速な対応と緩和に役立ちますか?

AWS 緊急時対応計画とインシデント対応プレイブックでは、セキュリティインシデントを検出、軽減、調査、評価するためのツールとプロセスを定義し、テストしています。これらの計画とプレイブックには、契約上および規制上の要件に従って潜在的なデータ侵害に対応するためのガイドラインが含まれています。

オートメーションインフラストラクチャでは、定期的なセキュリティ評価、脆弱性スキャン、侵入テストを実施していますか?

AWS セキュリティは、さまざまなツールを使用して AWS 、環境内のホストオペレーティングシステム、ウェブアプリケーション、データベースに対して定期的に脆弱性スキャンを実行します。 AWS セキュリティチームは、該当するベンダーの欠陥に関するニュースフィードをサブスクライブし、ベンダーのウェブサイトやその他の関連コンセントに新しいパッチがないかプロアクティブにモニタリングします。

オートメーションインフラストラクチャへのアクセスは、承認された担当者のみに制限されるのですか?

AWS システムへのアクセスは、最小特権に基づいて割り当てられ、承認された個人によって承認されます。 AWS システムの不正または意図しない変更や誤用を減らすために、職務と責任領域 (アクセスのリクエストと承認、変更管理のリクエストと承認、変更の開発、テストとデプロイなど) は異なる個人間で分離されます。グループアカウントまたは共有アカウントは、システム境界内では許可されません。

セキュリティ標準を維持し、オートメーションパイプラインでの不正アクセスやデータ侵害を防ぐために、どのような対策が実装されていますか?

サービス、ホスト、ネットワークデバイス、Windows および UNIX グループなどのリソースへのアクセスは、適切な所有者またはマネージャーによって AWS 独自のアクセス許可管理システムで承認されます。アクセス許可管理ツールログは、アクセス変更のリクエストをキャプチャします。ジョブ関数の変更により、従業員のリソースへのアクセスが自動的に取り消されます。その従業員の継続的なアクセスは、リクエストおよび承認される必要があります。

AWS では、リモートロケーションから内部 AWS ネットワークへの認証に、承認された暗号化チャネルを介した 2 要素認証が必要です。ファイアウォールデバイスは、コンピューティング環境へのアクセスを制限し、コンピューティングクラスターの境界を適用し、本番稼働用ネットワークへのアクセスを制限します。

プロセスは、監査情報と監査ツールを不正アクセス、変更、削除から保護するために実装されます。監査レコードには、必要な分析要件をサポートするために、一連のデータ要素が含まれています。さらに、監査レコードは、セキュリティ関連またはビジネスに影響を与えるイベントに応じて、承認されたユーザーがオンデマンドで検査または分析できます。

AWS システム (ネットワーク、アプリケーション、ツールなど) へのユーザーアクセス権は、終了または非アクティブ化されてから 24 時間以内に取り消されます。非アクティブなユーザーアカウントは、少なくとも 90 日ごとに無効または削除されます。

特権のエスカレーションやアクセスの誤用を検出して AMS チームにプロアクティブに警告するために、アクセスログ記録または監査ログ記録に対して異常検出またはモニタリングが有効になっていますか?

の本番稼働用ホスト AWS には、セキュリティ上の理由からログ記録が用意されています。このサービスは、ログオン、失敗したログオン試行、ログオフなど、ホストに対するヒューマンアクションをログに記録します。これらのログは、 AWS セキュリティインシデントが疑われる場合に根本原因分析のためにセキュリティチームによって保存され、アクセス可能です。特定のホストのログは、そのホストを所有するチームでも利用できます。フロントエンドログ分析ツールは、サービスチームが運用およびセキュリティ分析のためにログを検索するために使用できます。プロセスは、ログと監査ツールを不正アクセス、変更、削除から保護するために実装されています。 AWS セキュリティチームはログ分析を実行して、定義されたリスク管理パラメータに基づいてイベントを特定します。

AMS マネージドアカウントから抽出される顧客データの種類と、その使用および保存方法

AMS は、お客様のコンテンツにいかなる目的でもアクセスまたは使用しません。AMS は、お客様またはエンドユーザーがお客様のアカウント AWS のサービス に関連して によって処理、保存、またはホスティング AWS するために に転送するソフトウェア (マシンイメージを含む)、データ、テキスト、オーディオ、ビデオ、またはイメージ、およびお客様またはエンドユーザーが の使用を通じて上記から派生する計算結果として、お客様のコンテンツを定義します AWS のサービス。