翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# テーマ 1: マネージドサービスの使用
<a name="theme-1"></a>

**Essential Eight 戦略の対象**  
アプリケーションへのパッチ適用、管理権限の制限、オペレーティングシステムへのパッチ適用

マネージドサービスは、 AWS がパッチ適用や脆弱性管理などの一部のセキュリティタスクを管理できるようにすることで、コンプライアンス義務の軽減に役立ちます。

[AWS 責任共有モデル](australian-sec-compliance.md#shared-model) セクションで説明したように、クラウドのセキュリティとコンプライアンス AWS の責任は と共有します。これにより、 はホストオペレーティングシステムや仮想化レイヤーから、サービスが動作する施設の物理的なセキュリティまで、コンポーネントを AWS 運用、管理、制御するため、運用上の負担を軽減できます。

お客様の責任には、Amazon Relational Database Service (Amazon RDS) や Amazon Redshift などのマネージドサービスのメンテナンスウィンドウの管理、 AWS Lambda コードやコンテナイメージの脆弱性のスキャンが含まれます。また、これは、本ガイドのどのテーマにも当てはまる運用ですが、モニタリングとコンプライアンスレポートもお客様の責任で行う必要があります。[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) を使用すると、すべての AWS アカウントに存在する脆弱性をレポートでき、のルールを使用して、Amazon RDS や Amazon Redshift などのサービスでマイナーな更新とメンテナンスウィンドウが有効になってい AWS Config ることを確認できます。

例えば、Amazon EC2 インスタンスが稼働している場合、以下については、お客様の責任で実施します。
+ アプリケーション制御
+ アプリケーションへのパッチ適用
+ Amazon EC2 のコントロールプレーンおよびオペレーティングシステム (OS) に対する管理者権限の制限
+ OS へのパッチ適用
+  AWS コントロールプレーンと OS にアクセスするための多要素認証 (MFA) の強制
+ データおよび設定のバックアップ

一方、Lambda 関数を実行している場合、責任は軽減され、以下がお客様側での運用対象となります。
+ アプリケーション制御
+ ライブラリの最新状態の維持
+ Lambda コントロールプレーンに対する理者権限の制限
+  AWS コントロールプレーンへのアクセスを MFA に強制する
+ Lambda 関数のコードおよび設定のバックアップ

## AWS Well-Architected フレームワークの関連するベストプラクティス
<a name="theme-1-best-practices"></a>
+ [SEC01-BP05 セキュリティ管理の範囲を縮小する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_reduce_management_scope.html)

## このテーマの実装
<a name="theme-1-implementation"></a>

### パッチ適用の有効化
<a name="t1-enable-patching"></a>
+ [Amazon RDS の更新を適用する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Maintenance.html)
+ [でマネージド更新を有効にする AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)
+ [Amazon Redshift クラスターのメンテナンスウィンドウの認識](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-cluster-maintenance)

### 脆弱性のスキャン
<a name="t1-scan-vulnerabilities"></a>
+ [Amazon Inspector による、Amazon Elastic Container Registry (Amazon ECR) コンテナイメージのスキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html)
+ [Amazon Inspector による、Lambda 関数のスキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)

## このテーマのモニタリング
<a name="theme-1-monitoring"></a>

### ガバナンスチェックの実装
<a name="t1-gov-checks"></a>
+ で [ACSC Essential 8 コンフォーマンスパックの運用上のベストプラクティス](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html)を有効にする AWS Config

### Amazon Inspector のモニタリング
<a name="t1-inspector"></a>
+ [アカウントレベルのカバレッジ評価](https://docs.aws.amazon.com/inspector/latest/user/assessing-coverage.html#viewing-coverage-accounts)
+ [複数アカウントの管理](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)

### 次の AWS Config ルールを実装する
<a name="t1-config"></a>
+ `RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED`
+ `ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED`
+ `REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK`
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EKS_CLUSTER_SUPPORTED_VERSION`