AMS でのデータ保護 - AMS Advanced ユーザーガイド
Amazon MacieGuardDutyAmazon Route 53 Resolver DNS ファイアウォールAWS Certificate Manager (ACM) 証明書AMS でのデータの暗号化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS でのデータ保護

AMS は、Amazon GuardDuty、Amazon Macie (オプション)、その他の内部専有ツールやプロセスなどのネイティブ AWS サービスを活用して、マネージドアカウントを継続的にモニタリングします。アラームがトリガーされると、AMS は最初のトリアージとアラームへの応答について責任を負います。対応プロセスは NIST 標準に基づいています。AMS は、セキュリティインシデント対応シミュレーションを使用して対応プロセスを定期的にテストし、ワークフローを既存のカスタマーセキュリティ対応プログラムと整合させます。

AMS は、 またはセキュリティポリシーの違反 AWS または差し迫った違反の脅威を検出すると、影響を受けるリソースや設定関連の変更などの情報を収集します。AMS は、すべてのマネージドアカウントでモニタリングダッシュボード、インシデントキュー、サービスリクエストを積極的に確認および調査する専任オペレーターによる 24 時間 365 日体制のfollow-the-sunサポートを提供します。AMS は、セキュリティの専門家と調査結果を調査してアクティビティを分析し、アカウントにリストされているセキュリティエスカレーション連絡先を通じて通知します。

調査結果に基づいて、AMS はお客様と積極的に連携します。アクティビティが不正または疑わしいと思われる場合、AMS はお客様と協力して問題を調査、修復、または封じ込めます。GuardDuty によって生成された特定の検出結果タイプでは、AMS がアクションを実行する前に影響を確認する必要があります。例えば、GuardDuty 検出結果タイプ UnauthorizedAccess:IAMUser/ConsoleLogin は、ユーザーの 1 人が異常な場所からログインしたことを示します。AMS から通知され、この動作が正当かどうかを確認するために検出結果を確認するよう求められます。

Amazon Macie

AWS Managed Services では、Macie を使用して、個人健康情報 (PHI)、個人を特定できる情報 (PII)、財務データなどの機密データの大規模で包括的なリストを検出することをお勧めします。

Macie は、Amazon S3 バケットで定期的に実行するように設定でき、バケット内の新規または変更されたオブジェクトの評価が時間の経過とともに自動化されます。セキュリティ検出結果が生成されると、AMS は通知を行い、必要に応じて修正を行います。

詳細については、Amazon Macie の検出結果の分析」を参照してください。

Amazon Macie セキュリティ

Macie は、AWS に保存されている機密データを自動的に検出、分類、保護することで、データ損失を防ぐのに役立つ人工知能/AI を活用したセキュリティサービスです。Macie は機械学習を使用して、個人を特定できる情報 (PII) や知的財産などの機密データを認識し、ビジネス価値を割り当て、このデータが保存されている場所と組織内でどのように使用されているかを可視化します。Macie は、データアクセスアクティビティの異常を継続的にモニタリングし、不正アクセスや不注意によるデータ漏洩のリスクを検出するとアラートを送信します。Macie サービスは Amazon S3 と AWS CloudTrail データソースをサポートしています。

AMS は Macie からのアラートを継続的にモニタリングし、アラートが発生した場合は、リソースとアカウントを保護するための迅速なアクションを実行します。AMS がサポートするサービスのリストに Macie を追加することで、お客様の指示に従って、すべてのアカウントで Macie を有効にして設定する責任も果たすようになりました。Macie アラートとアクションが展開されたら、AWS コンソールまたはサポートされている統合で表示できます。アカウントのオンボーディング中に、PII の保存に使用するアカウントを指定できます。PII を使用するすべての新しいアカウントでは、Macie を使用することをお勧めします。PII を持つ既存のアカウントについては、お問い合わせください。アカウントで有効になります。その結果、追加の保護レイヤーが利用可能になり、AMS によって管理される AWS 環境で Macie のすべての利点を享受できます。

AMS Macie FAQs

  • すべての AMS アカウントで Trend Micro と GuardDuty が有効になっている場合に Macie が必要なのはなぜですか?

    Macie は、所有するデータ、データがビジネスにもたらす価値、そのデータへのアクセスに関連する動作を分類することで、Amazon S3 のデータを保護するのに役立ちます。Amazon GuardDuty は、脅威アクターの偵察、インスタンスの問題、問題のあるアカウントアクティビティなどの脅威を特定できるようにすることで、AWS アカウント、ワークロード、データの広範な保護を提供します。どちらのサービスにも、ユーザー動作分析、機械学習、異常検出が組み込まれており、それぞれのカテゴリの脅威を検出できます。Trend Micro は、PII とその脅威を特定することに重点を置いていません。

  • AMS アカウントで Macie を有効にするにはどうすればよいですか?

    アカウントに PII/PHI が保存されている場合、または保存を計画している場合は、CSDM に連絡するか、サービスリクエストを作成して、AMS が管理する新規または既存のアカウントに対して Macie を有効にします。

  • AMS アカウントで Macie を有効にすると、コストにどのような影響がありますか?

    Macie の料金は、Amazon Elastic Compute Cloud (Amazon EC2) などの他のサービスと同様の AMS で機能します。Amazon Macie の料金は、使用量と SLAs に基づく AMS の引き上げに基づいて発生します。Macie の料金は使用状況に基づきます。Amazon Macie の料金」を参照してください。 AWS CloudTrail イベントと Amazon S3 ストレージに基づいて測定されます。Macie の料金はAmazon S3バケットに追加された増分データに基づいて課金されるため、有効になってから 2 か月目からフラット化する傾向があることに注意してください。

Macie の詳細については、Amazon Macie」を参照してください。

GuardDuty

GuardDuty は、悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードを使用する継続的なセキュリティモニタリングサービスであり、機械学習を使用して、AWS 環境内の予期しない、潜在的に不正なアクティビティや悪意のあるアクティビティを特定します。このアクティビティには、権限のエスカレートや、公開されている認証情報の使用、悪意のある IP アドレスでの通信も含まれます。また、GuardDuty は、使用したことのないリージョンにデプロイされたインスタンスなどの不正なインフラストラクチャのデプロイや、パスワード強度を低下させるためのパスワードポリシーの変更などの異常な API コールなど、Amazon Web Services アカウントのアクセス動作をモニタリングします。詳細については、GuardDuty ユーザーガイド」を参照してください。

GuardDuty の検出結果を表示および分析するには、次の手順を使用します。

  1. GuardDuty コンソールを開きます。

  2. 検出結果を選択し、特定の検出結果を選択して詳細を表示します。各検出結果の詳細は、検出結果のタイプ、関連するリソース、アクティビティの性質によって異なります。

使用可能な検出結果フィールドの詳細については、GuardDuty の検出結果の詳細」を参照してください。

GuardDuty セキュリティ

Amazon GuardDuty は、AWS アカウントとワークロードを継続的にモニタリングして保護できる脅威検出を提供します。Amazon GuardDuty は、アカウントから生成されたメタデータの継続的なストリームと、イベント、Amazon VPC フローログ、ドメインネームシステム (DNS) ログにある AWS CloudTrail ネットワークアクティビティを分析します。また、既知の悪意のある IP アドレス、異常検出、機械学習などの統合された脅威インテリジェンスを使用して、脅威をより正確に特定します。GuardDuty はモニタリング対象の AMS サービスです。Amazon GuardDuty のモニタリングの詳細については、「」を参照してくださいGuardDuty のモニタリング。GuardDuty の詳細については、Amazon GuardDuty」を参照してください。

すべての新しい AMS アカウントでは、GuardDuty がデフォルトで有効になっています。AMS は、アカウントのオンボーディング中に GuardDuty を設定します。変更リクエストを送信して、いつでも設定を変更できます。GuardDuty の料金は、Amazon Elastic Compute Cloud (Amazon EC2) などの他のサービスと同様に AMS で機能します。GuardDuty の料金は、使用量と SLAs に基づく AMS の引き上げに基づいて発生します。GuardDuty 料金は、Amazon VPC フローログの AWS CloudTrail イベントとボリュームに基づいて測定される使用量 (Amazon GuardDuty 料金) に基づいています。

AMS の GuardDuty では、次のプライマリ検出カテゴリが有効になっています。

  • 偵察 -- 異常な API アクティビティ、VPC 内ポートスキャン、失敗したログインリクエストの異常なパターン、既知の不正な IP からのブロックされていないポート探索など、脅威アクターによる偵察を提案するアクティビティ。

  • インスタンスの問題 -- 暗号通貨マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、アウトバウンドサービス拒否アクティビティ、異常に大量のネットワークトラフィック、異常なネットワークプロトコル、既知の悪意のある IP とのアウトバウンドインスタンス通信、外部 IP アドレスで使用される一時的な Amazon EC2 認証情報、DNS を使用したデータ流出などの問題のあるインスタンスアクティビティ。

  • アカウントアクティビティ -- アカウントアクティビティを示す一般的なパターンには、異常な位置情報または匿名化プロキシからの API コール、ログ記録の無効化 AWS CloudTrail の試み、異常なインスタンスまたはインフラストラクチャの起動、異常な AWS リージョンでのインフラストラクチャのデプロイ、既知の悪意のある IP アドレスからの API コールなどがあります。

AMS は、マネージドアカウントで GuardDuty を使用して GuardDuty からの検出結果とアラートを継続的にモニタリングし、アラートが発生した場合は、AMS オペレーションがリソースとアカウントを保護するためにプロアクティブアクションを実行します。GuardDuty の検出結果とアクションは、AWS コンソールまたはサポートされている統合で展開されたときに表示できます。

GuardDuty は、アカウントの Trend Micro Deep Security Manager と連携します。Trend Micro Deep Security Manager は、ホストベースの侵入検知/侵入防止サービスを提供します。Trend Micro Web Reputation サービスは、ホストが脅威として知られているホストまたはウェブサービスと通信しようとしているタイミングを検出する機能で、GuardDuty とある程度重複しています。ただし、GuardDuty は追加の脅威検出カテゴリを提供し、Trend Micro のホストベースの検出を補完する方法であるネットワークトラフィックをモニタリングすることでこれを実現します。ネットワークベースの脅威検出では、ホストが問題のある動作をしている場合にコントロールが失敗しないようにすることで、セキュリティを強化できます。AMS では、すべての AMS アカウントで GuardDuty を使用することをお勧めします。

Trend Micro の詳細については、「Trend Micro Deep Security Help Center」を参照してください。Amazon 以外のリンクは予告なしに変更される可能性があります。

GuardDuty のモニタリング

GuardDuty は、AMS がキャプチャしてアラートできるセキュリティ検出結果を生成することで、AWS 環境のステータスを通知します。

Amazon GuardDuty は、VPC フローログ、 AWS CloudTrail イベントログ、ドメインネームシステムログを分析して処理することで、AWS 環境のセキュリティをモニタリングします。GuardDuty を設定して、独自のカスタム IP リスト、信頼できる IP リスト、脅威リストを使用できるようにすることで、このモニタリング範囲を拡張できます。

  • 信頼できる IP リストは、AWS インフラストラクチャおよびアプリケーションとの安全な通信を許可した IP アドレスで構成されます。GuardDuty は信頼できる IP リストの IP アドレスの結果は生成しません。どの時点でも、信頼されている IP リストのアップロード数は各リージョンの AWS アカウントにつき 1 つに限られます。

  • 脅威リストは、悪意のある既知の IP アドレスで構成されます。GuardDuty では、脅威リストに基づいて検出結果を生成します。どの時点でも、脅威リストのアップロード数は各リージョンの AWS アカウントにつき最大 6 つに限られます。

GuardDuty を実装するには、AMS CT デプロイ | モニタリングと通知 | GuardDuty IP セット | 作成 (ct-08avsj2e9mc7g) を使用して、承認された IP アドレスのセットを作成します。AMS CT デプロイ | モニタリングと通知 | GuardDuty 脅威情報セット | 作成 (ct-25v6r7t8gvkq5) を使用して、拒否された IP アドレスのセットを作成することもできます。

AMS がモニタリングするサービスのリストについては、「」を参照してくださいAMS モニタリングシステムは何をモニタリングしますか?

Amazon Route 53 Resolver DNS ファイアウォール

Amazon Route 53 Resolver は、パブリックレコード、Amazon VPC 固有の DNS 名、Amazon Route 53 プライベートホストゾーンの AWS リソースからの DNS クエリに再帰的に応答し、すべての VPCs でデフォルトで使用できます。Route 53 Resolver DNS Firewall を使用すると、仮想プライベートクラウド (VPC) のアウトバウンド DNS トラフィックをフィルタリングおよび規制できます。これを行うには、DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、そのルールグループを VPC に関連付けて、DNS Firewall のログとメトリクスのアクティビティを監視します。アクティビティに基づいて、DNS Firewall の動作を適宜調整できます。詳細については、「DNS ファイアウォールを使用してアウトバウンド DNS トラフィックをフィルタリングする」を参照してください。

Route 53 Resolver DNS Firewall 設定を表示および管理するには、次の手順を使用します。

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. DNS Firewall で、ルールグループを選択します。

  3. 既存の設定を確認、編集、または削除するか、新しいルールグループを作成します。詳細については、「Route 53 Resolver DNS Firewall の仕組み」を参照してください。

Amazon Route 53 Resolver DNS Firewall のモニタリングとセキュリティ

Amazon Route 53 DNS Firewall は、ルールの関連付け、ルールアクション、ルール評価優先度の概念を使用します。ドメインリストは、ルールグループ内の DNS Firewall ルールで使用する、再利用可能なドメイン仕様のセットです。ルールグループを VPC に関連付けると、DNS Firewall はルールで使用されているドメインリストとDNS クエリを比較します。DNS Firewall が一致を検出した場合、DNS クエリは一致するルールのアクションに従って処理されます。ルールグループとルールの詳細については、「DNS Firewall ルールグループとルール」を参照してください。

ドメインリストは、次の 2 つの主要なカテゴリに分類できます。

  • がユーザーに代わって AWS 作成および管理するマネージドドメインリスト。

  • 作成および管理する独自のドメインリスト。

ルールグループは、関連付け優先度インデックスに基づいて評価されます。

デフォルトでは、AMS は次のルールとルールグループで構成されるベースライン設定をデプロイします。

  • という名前の 1 つのルールグループDefaultSecurityMonitoringRule。ルールグループには、有効な各 の既存の VPC ごとに作成時に使用できる最も優先度の高い関連付けがあります AWS リージョン。

  • アクション ALERT DefaultSecurityMonitoringRuleAWSManagedDomainsAggregateThreatList Managed Domain リストを使用して、ルールグループ内で優先度 1 の という名前の 1 つのDefaultSecurityMonitoringRuleルール。

既存の設定がある場合、ベースライン設定は既存の設定よりも優先度が低くデプロイされます。既存の設定がデフォルトです。既存の設定でクエリ解決の処理方法に関する優先度の高い指示が提供されていない場合は、AMS ベースライン設定をキャッチオールとして使用します。ベースライン設定を変更または削除するには、次のいずれかを実行します。

アカウントがデベロッパーモードまたは直接変更モードで運用されている場合は、変更を自分で実行できます。

AWS Certificate Manager (ACM) 証明書

AMS には、CT、デプロイ | 高度なスタックコンポーネント | 追加の SANs を含む ACM 証明書 | 作成 (ct-3l14e139i5p50) があります。これを使用して、最大 5 つのサブジェクト代替名 (SAN) (example.com、example.net、example.org など) を追加して AWS Certificate Manager 証明書のリクエストを送信できます。詳細については、「What is AWS Certificate Manager?」および「ACM Certificate Characteristic」を参照してください。

注記

このタイムアウト設定は、実行に関するだけでなく、E メール検証による ACM 証明書の検証に関するものです。検証しないと、RFC は失敗します。

AMS でのデータの暗号化

AMS は、データ暗号化にいくつかの AWS サービス、特に Amazon Simple Storage Service、 AWS Key Management Service (AWS KMS)、Amazon Elastic Block Store、Amazon Relational Database Service Amazon Redshift、 Amazon ElastiCache AWS Lambda、および Amazon OpenSearch Service を使用します。

Amazon S3

Amazon S3 には、転送中および保管時のデータを保護するために使用できる、複数のオブジェクト暗号化オプションがあります。サーバー側の暗号化では、オブジェクトをデータセンター内のディスクに保存する前に暗号化し、オブジェクトをダウンロードするときに復号します。リクエストが認証され、お客様がアクセス許可を持っていれば、オブジェクトが暗号化されているかどうかに関係なく同じ方法でアクセスできます。詳細については、「Amazon S3 におけるデータ保護」を参照してください。

Amazon EBS

Amazon EBS 暗号化を使用すると、独自のキー管理インフラストラクチャを構築、保守、保護する必要はありません。Amazon EBS 暗号化は、暗号化されたボリュームとスナップショットを作成するときに AWS KMS キーを使用します。暗号化オペレーションは、Amazon EC2 インスタンスをホストするサーバーで行われます。これは、インスタンスとそのアタッチされた Amazon EBS ストレージ間のdata-at-restdata-in-transitの両方が安全であることを確認するために行われます。1 つのインスタンスに対し、暗号化されたボリュームと暗号化されていないボリュームの両方を、同時にアタッチできます。詳細については、「Amazon EBS Encryption」を参照してください。

Amazon RDS

Amazon RDS は、Amazon RDS DB インスタンスを暗号化することができます。保管時に暗号化されるデータには、DB インスタンス、自動バックアップ、リードレプリカ、スナップショットの基盤となるストレージが含まれます。Amazon RDS 暗号化 DB インスタンスは、業界標準の AES-256 暗号化アルゴリズムを使用して、Amazon RDS DB インスタンスをホストするサーバー上のデータを暗号化します。データが暗号化されると、Amazon RDS はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号化の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。詳細については、「Amazon RDS リソースの暗号化」を参照してください。

Amazon Simple Queue Service

デフォルトの Amazon SQS マネージドサーバー側の暗号化 (SSE) オプションに加えて、Amazon SQS マネージド SSE (SSE-SQS) では、Amazon SQS マネージド暗号化キーを使用してメッセージキュー経由で送信される機密データを保護するカスタムマネージドサーバー側の暗号化を作成できます。サーバー側の暗号化 (SSE) により、機密データを暗号化されたキューで送信できます。SSE は、Amazon SQS で管理される暗号化キー (SSE-SQS) または AWS KMS (SSE-KMS) で管理されるキーを使用して、キュー内のメッセージの内容を保護します。を使用して SSE を管理する方法については AWS Management Console、「保管時の暗号化」を参照してください。

保管時のデータ暗号化

OpenSearch Service ドメインでは、保管中のデータの暗号化という、データへの不正アクセスを防止するのに役立つセキュリティ機能が提供されます。この機能は AWS Key Management Service (AWS KMS) を使用して暗号化キーを保存および管理し、Advanced Encryption Standard アルゴリズムを 256 ビットキー (AES-256) を使用して暗号化を実行します。詳細については、「Amazon OpenSearch Service の保管中のデータの暗号化」を参照してください。

キーの管理

AWS KMS は、データの暗号化に使用される暗号化キーであるカスタマーマスターキー (CMKs) の作成と制御を容易にするマネージドサービスです。 AWS KMS CMKs は、中国 (北京) および中国 (寧夏) リージョンを除き、FIPS 140-2 暗号化モジュール検証プログラムによって検証されたハードウェアセキュリティモジュール (HSMs) によって保護されています。詳細については、「AWS Key Management Service とは」を参照してください。