目標とするビジネス成果

企業は、自社のITシステムのリスクを軽減するため、またはリスクへの対抗手段として利用するために、セキュリティコントロールを使用します。セキュリティコントロールは、IT プログラムとそのセキュリティ戦略の主要なセキュリティ目標を満たすための、要件の基準線を規定します。セキュリティコントロールを実装すると、データや IT 資産の機密性、一貫性、可用性が保護され、企業のセキュリティ体制は向上します。コントロールが実装されていなければ、セキュリティの基準線を設定する際にどこに専念し労力を投じればよいかを判断することが難しくなります。

セキュリティコントロールを使用すれば、さまざまなシナリオに対処できます。例えば、リスク評価から生じる要件への適合、業界標準の達成、規制への準拠などです。セキュリティコントロールの要件が満たされているということは、システムのリスクが評価され、必要とされる保護レベルが判定され、ソリューションが事前対処的に実装されていることを意味します。ビジネス、業界、地域など、その他の要因はすべて、必要なセキュリティコントロールを決める判断材料になり得ます。

セキュリティコントロールの実装を必要とする一般的なユースケースは次のとおりです。

アプリケーションのセキュリティ評価により、処理中のデータの機密性に基づき、アクセス制御の必要性が確認された場合。
Payment Card Industry Data Security Standard (PCI DSS)、HIPAA (Health Insurance Portability and Accountability Act)、アメリカ国立標準技術研究所 (NIST) などのセキュリティ基準を順守しなければならない場合。
ビジネス取引の機密情報を保護する必要がある場合。
一般データ保護規則 (GDPR) の順守が義務付けられている地域など、セキュリティコントロールを必要とする地域に会社の事業を拡大した場合。

本ガイドを読むことで、4 種類のセキュリティコントロールについて理解し、それらがセキュリティガバナンスのフレームワークにどのように含まれているかを理解することができます。また、 AWS クラウドでセキュリティコントロールの実装と自動化を開始する準備が整います。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

序章

ガバナンスフレームワークにおけるセキュリティコントロール