翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
管理者権限の制限
| Essential Eight コントロール | 実装のガイダンス | AWS リソース | AWS Well-Architected ガイダンス |
|---|---|---|---|
| システムおよびアプリケーションに対する特権アクセスのリクエストは、最初のリクエスト時に検証しています。 | テーマ 4: ID の管理: ID フェデレーションの実装 | 一時的な認証情報を使用して AWS にアクセスする人間のユーザーには、ID プロバイダーとのフェデレーションを求めている | |
| システムおよびアプリケーションへの特権アクセスは、それらが再検証されない限り、12 か月後に自動的に無効化しています。 | テーマ 4: ID の管理: ID フェデレーションの実装 | 一時的な認証情報を使用して AWS にアクセスする人間のユーザーには、ID プロバイダーとのフェデレーションを求めている | SEC02-BP04 一元化された ID プロバイダーを利用する |
| テーマ 4: ID の管理: 認証情報のローテーション | ワークロードが IAM ロールを使用して にアクセスするよう要求する AWS 長期認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする AWS Summit ANZ 2023: クラウドでの一時的な認証情報へのジャーニー |
SEC02-BP05 定期的に認証情報を監査およびローテーションする | |
| システムおよびアプリケーションへの特権アクセスが 45 日間アクティブでない場合は、それらを自動的に無効化しています。 | テーマ 4: ID の管理: ID フェデレーションの実装 テーマ 4: ID の管理: 認証情報のローテーション |
人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーと連携させる ワークロードが IAM ロールを使用して にアクセスするよう要求する AWS 長期認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする AWS Summit ANZ 2023: クラウドでの一時的な認証情報へのジャーニー |
|
| システムおよびアプリケーションへの特権アクセスは、業務上ユーザーおよびサービスに必要なものにのみ制限しています。 | テーマ 4: ID の管理: 最小特権アクセス許可の適用 | ルートユーザーの認証情報を保護し、日常的なタスクには使用しない IAM Access Analyzer を使用して、アクセスアクティビティに基づいて最小特権ポリシーを生成する IAM Access Analyzer を使用してリソースへのパブリックアクセスとクロスアカウントアクセスを検証する IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を行う アクセス許可の境界を使用して、ID ベースのポリシーで付与可能な権限の上限を設定する 未使用のユーザー、ロール、アクセス許可、ポリシー、認証情報を定期的に確認して削除する |
|
| 特権アカウントでは、インターネット、E メール、ウェブサービスにアクセスできないようにしています。 | 「Technical example: Restrict administrative privileges |
インターネットへのアクセス機能を持たない VPC がその状態を維持するための SCP の実装を検討する | 該当しない |
| 特権ユーザーが特権運用環境と非特権運用環境を分けて使用するようにしています。 | テーマ 5: データ境界を確立する | データ境界を確立する。OFFICIAL:SENSITIVE または PROTECTED といった異なるデータ分類の環境間、あるいは、開発、テスト、本番といった異なるリスクレベルの環境間にデータ境界を実装することを検討してください。 |
SEC06-BP03 手動管理とインタラクティブアクセスを削減する |
| 特権運用環境を非特権運用環境内で仮想化しないようにしています。 | |||
| 特権のないアカウントでは、特権アカウントの運用環境にログオンできないようにしています。 | |||
| 特権アカウント (ローカル管理者アカウントを除く) では、権限のない運用環境にログオンできないようにしています。 | |||
| システムとアプリケーションの管理に、ジャストインタイム管理を使用しています。 | テーマ 4: ID の管理: ID フェデレーションの実装 | 人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーと連携させる 環境への一時的な昇格アクセスを実装する AWS |
SEC02-BP04 一元化された ID プロバイダーを利用する |
| 管理アクティビティは、ジャンプサーバーを介して行っています。 | テーマ 3: 自動化によるミュータブルなインフラストラクチャの管理: 手動ではなく、自動プロセスを使用する |
SSH または RDP による直接アクセスではなく、Session Manager または Run Command を使用する |
|
| ローカル管理者アカウントとサービスアカウントの認証情報は、一意で、予測不可能であり、管理対象となっています。 | 「Technical example: Restrict administrative privileges |
該当しない | 該当しない |
| Windows Defender Credential Guard と Windows Defender Remote Credential Guard を有効にしています。 | |||
| 特権アクセスの使用を一元的にログに記録し、それらのログを不正な変更や削除から保護しています。また、侵害の兆候がないかをモニタリングし、サイバーセキュリティイベントが検出されたらそれらに対処します。 | テーマ 7: ログ記録およびモニタリングの一元化: ログ記録の有効化 テーマ 7: ログ記録およびモニタリングの一元化: ログを一元管理する |
CloudWatch エージェントを使用して、OS レベルのログを CloudWatch Logs に発行する 監査と分析のために アカウントに CloudWatch Logs を一元化する AWS Configで組織全体のアグリゲータを作成する (AWS ブログ記事) |
|
| 特権アカウントおよびグループへの変更を一元的にログに記録し、それらのログを不正な変更や削除から保護しています。また、侵害の兆候がないかをモニタリングし、サイバーセキュリティイベントが検出されたらそれらに対処します。 |
