翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティ OU - Security Tooling アカウント
アンケート
皆様からのご意見をお待ちしています。簡単なアンケート
Security Tooling アカウントは、セキュリティとプライバシーの基本的なサービスの運用、セキュリティ AWS アカウントとプライバシーのアラートと対応のモニタリングと自動化に専念しています。このアカウントの詳細については、AWS 「セキュリティリファレンスアーキテクチャ (AWS SRA)」を参照してください。次の図は、 AWS Security Tooling アカウントで設定されているセキュリティおよびプライバシーサービスを示しています。
このセクションでは、このアカウントの以下に関する詳細情報を提供します。
AWS CloudTrail
AWS CloudTrail は、 の全体的な API アクティビティを監査するのに役立ちます AWS アカウント。個人データを保存、処理、または送信 AWS リージョン するすべての AWS アカウント および で CloudTrail を有効にすると、このデータの使用と開示を追跡するのに役立ちます。AWS セキュリティリファレンスアーキテクチャでは、組織の証跡を有効にすることをお勧めします。これは、組織内のすべてのアカウントのすべてのイベントを記録する単一の証跡です。ただし、この組織の証跡を有効にすると、マルチリージョンのログデータがログアーカイブアカウントの単一の Amazon Simple Storage Service (Amazon S3) バケットに集約されます。個人データを処理するアカウントの場合は、設計上の考慮事項がいくつか追加される可能性があります。ログレコードには、個人データへの参照が含まれている場合があります。データレジデンシーとデータ転送の要件を満たすには、S3 バケットがある単一リージョンへのクロスリージョンログデータの集約を再検討する必要が生じる場合があります。組織は、どのリージョンのワークロードを組織の証跡に含めるか除外するかを検討する場合があります。組織の証跡から除外するワークロードについては、個人データをマスクするリージョン固有の証跡の設定を検討できます。個人データのマスキングに関する詳細については、このガイドの「Amazon Data Firehose」セクションを参照してください。最終的に、組織には、一元化されたログアーカイブアカウントに集約される組織の証跡とリージョンの証跡の組み合わせが含まれる可能性があります。
単一リージョンの証跡を設定する方法の詳細については、AWS Command Line Interface (AWS CLI) または コンソールを使用する手順を参照してください。組織の証跡を作成するときは、AWS Control Tower でオプトイン設定を使用するか、CloudTrail コンソールで証跡を直接作成できます。
全体的なアプローチと、ログおよびデータ転送要件の一元化を管理する方法の詳細については、このガイドの「一元化されたログストレージ」セクションを参照してください。どの設定を選択しても、SRA に従って Security Tooling アカウントの証跡管理を Log Archive AWS アカウントのログストレージから分離できます。この設計を使用して、ログを管理する必要があるユーザーとログデータを使用する必要があるユーザーのために、最小特権のアクセスポリシーを作成することができます。
AWS Config
AWS Config では、 AWS アカウント におけるリソースとその構成方法についての詳細なビューを提供します。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
では AWS Config、一連の AWS Config ルールと修復アクションであるコンフォーマンスパックをデプロイできます。コンフォーマンスパックは、マネージドルールまたはカスタム AWS Config ルールを使用して、プライバシー、セキュリティ、運用、コスト最適化のガバナンスチェックを可能にするように設計された汎用フレームワークを提供します。このツールは、大規模な自動化ツールのセットの一部として使用して、 AWS リソース設定が独自のコントロールフレームワーク要件に準拠しているかどうかを追跡できます。
NIST プライバシーフレームワーク v1.0 オペレーションのベストプラクティスコンフォーマンスパックは、NIST プライバシーフレームワークの多くのプライバシー関連コントロールと一致しています。各 AWS Config ルールは特定の AWS リソースタイプに適用され、1 つ以上の NIST プライバシーフレームワークコントロールに関連しています。このコンフォーマンスパックを使用して、アカウントのリソース全体でプライバシー関連の継続的なコンプライアンスを追跡できます。以下は、このコンフォーマンスパックに含まれるルールの一部です。
-
no-unrestricted-route-to-igw– このルールは、VPC ルートテーブルのデフォルトルートである0.0.0.0/0またはインターネットゲートウェイへの出力ルートである::/0を継続的にモニタリングすることで、データプレーン上のデータ流出を防ぐのに役立ちます。これにより、特に悪意のあることがわかっている CIDR 範囲がある場合に、インターネットにバインドされたトラフィックを送信できる場所を制限できます。 -
encrypted-volumes– このルールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされている Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されているかどうかを確認します。組織に個人データを保護するための AWS Key Management Service (AWS KMS) キーの使用に関連する特定の制御要件がある場合は、ルールの一部として特定のキー IDs を指定して、ボリュームが特定の AWS KMS キーで暗号化されていることを確認することができます。 -
restricted-common-ports– このルールでは、Amazon EC2 セキュリティグループが指定されたポートへの無制限の TCP トラフィックを許可しているかどうかをチェックします。セキュリティグループは、入出力ネットワークトラフィックを AWS リソースにステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。0.0.0.0/0からリソース上の TCP 3389 や TCP 21 などの共通ポートへの入力トラフィックをブロックすると、リモートアクセスを制限できます。
AWS Config は、 AWS リソースのプロアクティブコンプライアンスチェックとリアクティブコンプライアンスチェックの両方に使用できます。コンフォーマンスパックに含まれるルールを考慮するだけでなく、これらのルールを検出評価モードとプロアクティブ評価モードの両方に組み込むことができます。これにより、アプリケーション開発者はデプロイ前チェックの組み込みを開始できるため、ソフトウェア開発ライフサイクルの早い段階でプライバシーチェックを実装できます。たとえば、プロアクティブモードが有効になっているすべてのプライバシー関連 AWS Config ルールに対して AWS CloudFormation テンプレート内の宣言されたリソースをチェックするフックをテンプレートに含めることができます。詳細については、AWS Config 「 Rules Now Support Proactive Compliance
Amazon GuardDuty
AWS は、Amazon S3、Amazon Relational Database Service (Amazon RDS)、Kubernetes を使用した Amazon EC2 など、個人データの保存または処理に使用できる複数のサービスを提供します。Amazon GuardDuty は、インテリジェントな可視性と継続的なモニタリングを組み合わせて、個人データの意図しない開示に関連する可能性のある指標を検出します。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
GuardDuty を使用すると、攻撃ライフサイクル全体で潜在的に悪意のあるプライバシー関連のアクティビティを特定できます。例えば、GuardDuty は、ブラックリストに登録されたサイトへの接続、異常なネットワークポートトラフィックまたはトラフィックボリューム、DNS 漏洩、予期しない EC2 インスタンスの起動、異常な ISP 発信者について警告できます。また、GuardDuty を設定して、独自の信頼できる IP リストに対するアラートと独自の脅威リストからの悪意のある既知の IP アドレスについてのアラートを停止することもできます。
AWS SRA で推奨されているように、組織 AWS アカウント 内のすべての に対して GuardDuty を有効にし、Security Tooling アカウントを GuardDuty 委任管理者として設定できます。GuardDuty では、組織全体の調査結果をこの 1 つのアカウントに集約します。詳細については、「 を使用した GuardDuty アカウントの管理 AWS Organizations」を参照してください。また、検出と分析から封じ込めと根絶まで、インシデント対応プロセスにおけるプライバシー関連のステークホルダーをすべて特定し、データ漏洩を伴う可能性のあるインシデントにそれらを含めることを検討することもできます。
IAM Access Analyzer
多くのお客様は、個人データが事前に承認され、意図されたサードパーティープロセッサと適切に共有され、他のエンティティとは共有されていないということが継続的に保証されることを望んでいます。データ境界
AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) を使用すると、組織は信頼 AWS アカウント ゾーンを定義し、その信頼ゾーンに対する違反のアラートを設定できます。IAM Access Analyzer では、IAM ポリシーを分析して機密性の高いリソースへの意図しないパブリックアクセスまたはクロスアカウントアクセスを特定し、解決することができます。IAM Access Analyzer は、数理論理と推論を使用して、 AWS アカウント以外からアクセスできるリソースの包括的な検出結果を生成します。最後に、過度に許可された IAM ポリシーに対応し、修復するために、IAM Access Analyzer を使用して、IAM の推奨プラクティスに照らして既存のポリシーを検証し、提案を提供できます。IAM Access Analyzer は、IAM プリンシパルの以前のアクセスアクティビティに基づいて、最小特権の IAM ポリシーを生成できます。CloudTrail ログを分析し、これらのタスクを引き続き実行するために必要なアクセス許可のみを付与するポリシーを生成します。
セキュリティコンテキストでの IAM Access Analyzer の使用方法に関する詳細については、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
Amazon Macie
Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするサービスです。Macie では、Amazon S3 バケットのセキュリティまたはプライバシーに関して潜在的なポリシー違反や問題を検出した場合に、その検出結果を生成します。Macie は、組織がコンプライアンスの取り組みをサポートするための自動化の実装に使用できる、もう一つのツールです。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
Macie は、名前、住所、その他の識別可能な属性など、個人を特定できる情報 (PII) を含む機密データタイプの、大規模かつ増え続けるリストを検出できます。組織による個人データの定義を反映する検出基準を定義するために、カスタムデータ識別子を作成することもできます。
組織は、個人データを含む Amazon S3 バケットの予防的コントロールを定義するため、Macie を検証メカニズムとして使用し、個人データの所在と保護方法を継続的に確認することができます。開始するには、Macie を有効にして、機密データの自動検出を設定します。Macie は、アカウントと 全体で、すべての S3 バケット内のオブジェクトを継続的に分析します AWS リージョン。Macie は、個人データが存在する場所を示すインタラクティブなヒートマップを生成して維持します。機密データの自動検出機能は、コストを削減し、検出ジョブを手動で設定する必要性を最小限に抑えるように設計されています。機密データの自動検出機能をベースに築き、Macie を使用して既存のバケット内の新しいバケットまたは新しいデータを自動的に検出し、割り当てられたデータ分類タグに対してデータを検証できます。このアーキテクチャを設定して、誤って分類されたバケットまたは未分類のバケットを適時に適切な開発チームとプライバシーチームに通知します。
を使用して、組織内のすべてのアカウントで Macie を有効にできます AWS Organizations。詳細については、「Amazon Macie 内で組織を統合および設定する」を参照してください。
