翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# セキュリティの柱
<a name="security"></a>

 AWS Well-Architected フレームワーク[のセキュリティの柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)は、クラウド機能を活用して、情報、インフラストラクチャ、リソースの堅牢な保護メカニズムを確立することに焦点を当てています。これらの原則は、イノベーションを可能にしながら、全体的なセキュリティ体制を強化するのに役立ちます。

この柱を WorkSpaces Applications ストリーミング環境に適用するための主な重点領域:
+ データの整合性と機密性
+ ユーザーアクセス許可の管理
+ セキュリティイベントを検出するためのコントロールの確立

## 強力な ID 基盤を実装する
<a name="security-foundation"></a>

ID 管理を一元化し、長期的な認証情報を回避しながら AWS 、リソースにアクセスするために必要な最小限のアクセス許可を使用します。
+ WorkSpaces アプリケーションリソースに最小特権のアクセス許可を付与します。
  + 最小限のアクセス許可で WorkSpaces アプリケーションフリートの特定の IAM ロールを作成します。
  + Image Builder の制限された IAM アクセス許可を設定します。
  + WorkSpaces アプリケーション管理機能への管理アクセスを制限します。
  + スタックとフリート管理の詳細なアクセス許可を定義します。
+ 適切なユーザー認証メカニズムを実装します。
  + エンタープライズ ID プロバイダーの統合用に SAML 2.0 フェデレーションを設定します。
  + ユーザー管理[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)用に をセットアップします。
  + 特定の認証シナリオで必要な場合のみ、カスタム ID ブローカーを使用します。
  + サポートされている場合は、多要素認証 (MFA) を実装します。
+ アプリケーションへのユーザーアクセスを制御します。
  + アプリケーションの使用権限を設定して、特定のアプリケーションへのアクセスを制限します。
  + ユーザーロールに基づいてアプリケーション割り当てグループを作成します。
  + スタックのアクセス許可を使用してアプリケーションアクセスを管理します。
  + アプリケーションの動作を制御するセッションポリシーを実装します。
+ 適切なコントロールを使用してユーザーセッションを保護します。
  + セッションタイムアウトポリシーを設定します。
  + 切断タイムアウトアクションを設定します。
  + セッション永続性要件を実装します。
  + ファイルシステムのリダイレクト許可を制御します。
+ WorkSpaces アプリケーションの証明書ベースの認証を設定します。詳細については、 AWS ブログ記事[「Simplify certificate-based authentication for WorkSpaces Applications and WorkSpaces with AWS Private CA Connector for Active Directory](https://aws.amazon.com/blogs/desktop-and-application-streaming/simplify-certificate-based-authentication-for-appstream-2-0-and-workspaces-with-aws-private-ca-connector-for-active-directory/)」を参照してください。
+ セッションタグを使用して、きめ細かなアクセスコントロールを実装します。詳細については、 AWS ブログ記事[「セッションタグを使用して WorkSpaces アプリケーションのアクセス許可を簡素化する](https://aws.amazon.com/blogs/desktop-and-application-streaming/use-session-tags-to-simplify-appstream-2-0-permissions/)」を参照してください。

## トレーサビリティを維持する
<a name="security-traceability"></a>

すべての環境の変更とアクティビティに対して、リアルタイムモニタリングと自動応答システムを実装します。
+ アプリケーションログの [CloudWatch ログ記録](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html)を設定して、アプリケーションの起動、クラッシュ、エラーなど、アプリケーション固有のイベントをモニタリングします。セッションの開始、停止、ユーザー接続イベントなど、ストリーミングセッション情報を追跡するようにセッションログを設定します。
+ [CloudTrail をアクティブ化してすべての WorkSpaces Applications API コールをログ](https://docs.aws.amazon.com/appstream2/latest/developerguide/logging-using-cloudtrail.html)に記録し、フリートの作成と変更、Image Builder オペレーション、スタック設定、ユーザー管理アクティビティなどの管理イベントを追跡します。
+ WorkSpaces Applications インスタンスのアクティビティをモニタリングします。
  + システムレベルのイベントをキャプチャするようにインスタンスのログ記録を設定します。
  + アプリケーションの起動と失敗を追跡します。
  + システムリソースの使用状況とパフォーマンスをモニタリングします。
+ ユーザーアクティビティを追跡します。
  + ユーザー認証の試行と失敗をモニタリングします。CloudWatch メトリクスと CloudWatch Logs を使用して、ユーザーのログイン試行、セッションの開始時刻と終了時刻、セッション切断イベントを追跡します。
  + アプリケーションの使用パターンを追跡します。[WorkSpaces アプリケーション使用状況レポートを有効に](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-usage-reports.html)して、セッション期間、開始時刻と終了時刻、使用されるインスタンスタイプ、アクセスされたアプリケーションなどの情報を取得します。
  + 有効なホームフォルダを使用してファイルシステムのアクティビティを記録します。
  + データ損失防止の目標を達成するために、クリップボード設定と印刷オペレーションを設定します。
+ ユーザー認証の失敗、異常なセッションパターン、リソースアクセス違反などのセキュリティ関連のメトリクスに対して [CloudWatch アラーム](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)を設定します。
+ EUC ツールキットを使用して、アクティブなセッションと状態を追跡し、使用中のアクティブなセッションの IP アドレスをモニタリングし、監査のためにセッションデータをエクスポートします。詳細については、 AWS ブログ記事「Using [the EUC toolkit to manage Amazon WorkSpaces Applications and Amazon WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/euc-toolkit/)」を参照してください。

## すべてのレイヤーにセキュリティを適用する
<a name="security-layers"></a>

ネットワークエッジからアプリケーションコードまで、インフラストラクチャのすべてのコンポーネントに複数のセキュリティコントロールレイヤーを実装します。
+ ネットワークレイヤーのセキュリティを設定します。
  + 厳格なセキュリティグループルールを実装します。
  + WorkSpaces Applications フリートインスタンスを、直接インターネットにアクセスできないプライベートサブネットに配置します。NAT デバイスによるインターネットアクセスを制御します。
  + 仮想プライベートクラウド (VPC) エンドポイントを使用して、サポートされている AWS のサービス (Amazon S3 など) にアクセスします。
  + 追加のネットワークセキュリティレイヤーとしてネットワークアクセスコントロールリスト (ACLs) を実装します。
  + ストリーミングポート (HTTPS および WebSocket Secure の場合は TCP 8443) アクセスを特定の IP 範囲に制限します。
+ アクセスレイヤーのセキュリティを設定します。
  + セッションタイムアウトポリシーを実装して、非アクティブなユーザーを自動的に切断します。
  + セッションタグを使用して属性ベースのアクセスコントロールを実装します。詳細については、 AWS ブログ記事[「セッションタグを使用して WorkSpaces アプリケーションのアクセス許可を簡素化する](https://aws.amazon.com/blogs/desktop-and-application-streaming/use-session-tags-to-simplify-appstream-2-0-permissions/)」を参照してください。
+ アプリケーションレイヤーのセキュリティを設定します。
  + アプリケーションの使用権限を設定して、特定のアプリケーションにアクセスできるユーザーを制御します。
  + ファイルシステムのリダイレクトコントロールを有効にして、ローカルドライブへのアクセスを制限します。
  + セキュリティ要件に基づいて、クリップボード、ファイル転送、印刷のアクセス許可を設定します。
  + セキュリティポリシーに従って USB デバイスアクセスコントロールを設定します。
+ イメージレイヤーのセキュリティを設定します。
  + セキュリティ要件を満たす強化ベースイメージを作成して維持します。
  + ベースイメージを最新のセキュリティパッチで更新します。
  + ベースイメージで Windows セキュリティ設定を構成します。
  + ベースイメージの不要な Windows サービスと機能を無効にします。

## セキュリティのベストプラクティスを自動化する
<a name="security-automation"></a>

バージョン管理されたテンプレートでコード定義の自動セキュリティコントロールを使用して、安全でスケーラブルなインフラストラクチャのデプロイを可能にします。
+ などのサービスを使用してInfrastructure as Code (IaC) を使用し AWS CloudFormation 、すべてのフリートデプロイに一貫したセキュリティ設定を実装します。詳細については、 AWS ブログ記事「Amazon [ Amazon WorkSpaces アプリケーションと Amazon WorkSpaces に追加のセキュリティグループを自動的にアタッチする](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/)」を参照してください。
+ Image Assistant CLI を使用して、イメージ作成のセキュリティプロセスを自動化します。
+ Amazon CloudWatch アラーム、Amazon EventBridge ルール、自動応答用の AWS Lambda 関数を使用して、容量使用率のしきい値を超えた自動応答、不正アクセスの試行、セキュリティグループの変更を設定します。

## データから遠ざける
<a name="security-data"></a>

データ処理プロセスを自動化して、直接の人間によるアクセスを最小限に抑え、エラーや誤処理のリスクを軽減します。
+ アプリケーションの使用権限を設定して、特定のアプリケーションにアクセスできるユーザーを制御します。
+ [動的アプリケーションフレームワーク](https://docs.aws.amazon.com/appstream2/latest/developerguide/build-dynamic-app-provider.html)を使用して動的アプリケーションプロバイダーを構築し、ユーザー属性に基づいてアプリケーションを動的に利用できるようにします。
+ ファイルシステムのリダイレクトを設定して、ユーザーがアクセスできるローカルドライブを制御し、特定のフォルダへのアクセスを制限し、ローカルセッションとストリーミングセッション間のファイル転送アクセス許可を管理します。
+ クリップボードの制限を実装して、ローカルセッションとストリーミングセッション間のクリップボード共有を無効にし、必要に応じて一方向クリップボードフローを有効にして、不正なデータコピーを防止します。
+ アプリケーション設定の永続性を設定して、アプリケーション設定を自動的に保存および復元し、手動設定の必要性を排除し、一貫したユーザーエクスペリエンスを維持します。

## セキュリティイベントに備える
<a name="security-events"></a>

自動ツールを使用してインシデント対応計画を策定して実践し、セキュリティイベントを迅速に検出、調査、復旧できるようにします。
+ 認証試行の失敗、フリートセキュリティグループの変更、イメージ設定の変更、異常なストリーミングセッションパターンに対して CloudWatch アラームを設定します。
+ 次のような一般的な WorkSpaces アプリケーションセキュリティシナリオの応答手順を文書化します。
  + 許可されていないアクセスの試行
    + 検出: 認証の失敗をモニタリングします。
    + レスポンス: ユーザー権限の取り消し、セッションログの確認、アクセスポリシーの更新を行います。
  + 侵害されたストリーミングインスタンス
    + 検出: インスタンスの動作をモニタリングします。
    + レスポンス: 影響を受けるセッションを終了し、フリートインスタンスを置き換え、セキュリティグループ設定を確認します。
  + データ流出の試行
    + 検出: ファイル転送アクティビティをモニタリングします。
    + レスポンス: クリップボードとファイル転送ログの確認、ファイル転送アクセス許可の調整、データ保護ポリシーの更新を行います。
+ フリートインスタンスの交換、セキュリティグループの復元、ユーザーアクセスの再設定、アプリケーション設定の復旧のための自動復旧プロセスを実装します。
+ セキュリティの検出 AWS のサービス 結果には 、脅威の検出 AWS Security Hub CSPM には Amazon GuardDuty などのセキュリティ管理に使用します。