セキュリティ OU - Security Tooling アカウント
アンケート
皆様からのご意見をお待ちしています。簡単なアンケート
Security Tooling アカウントは、セキュリティサービスおよび基本的なプライバシーサービスの運営、AWS アカウントのモニタリング、セキュリティおよびプライバシーアラートとレスポンスの自動化などに特化したアカウントです。このアカウントの詳細については、「AWS セキュリティリファレンスアーキテクチャ (AWS SRA)」を参照してください。以下の図は、Security Tooling アカウントで設定されている AWS のセキュリティおよびプライバシーサービスを示しています。
このセクションでは、このアカウントの以下に関する詳細情報を提供します。
AWS CloudTrail
AWS CloudTrail は、AWS アカウントの全体的な API アクティビティを監査するのに役立ちます。個人データを保存、処理、または転送するすべての AWS アカウントおよび AWS リージョンで CloudTrail を有効にすると、このデータの使用と開示を追跡できるようになります。AWS セキュリティリファレンスアーキテクチャでは、組織の証跡を有効にすることをお勧めします。これは、組織内のすべてのアカウントのすべてのイベントを記録する単一の証跡です。ただし、この組織の証跡を有効にすると、マルチリージョンのログデータがログアーカイブアカウントの単一の Amazon Simple Storage Service (Amazon S3) バケットに集約されます。個人データを処理するアカウントの場合は、設計上の考慮事項がいくつか追加される可能性があります。ログレコードには、個人データへの参照が含まれている場合があります。データレジデンシーとデータ転送の要件を満たすには、S3 バケットがある単一リージョンへのクロスリージョンログデータの集約を再検討する必要が生じる場合があります。組織は、どのリージョンのワークロードを組織の証跡に含めるか除外するかを検討する場合があります。組織の証跡から除外するワークロードについては、個人データをマスクするリージョン固有の証跡の設定を検討できます。個人データのマスキングに関する詳細については、このガイドの「Amazon Data Firehose」セクションを参照してください。最終的に、組織には、一元化されたログアーカイブアカウントに集約される組織の証跡とリージョンの証跡の組み合わせが含まれる可能性があります。
単一リージョンの証跡を設定する方法の詳細については、AWS Command Line Interface (AWS CLI) または コンソールを使用する手順を参照してください。組織の証跡を作成するときは、AWS Control Tower でオプトイン設定を使用するか、CloudTrail コンソールで証跡を直接作成できます。
全体的なアプローチと、ログおよびデータ転送要件の一元化を管理する方法の詳細については、このガイドの「一元化されたログストレージ」セクションを参照してください。どの設定を選択しても、AWS SRA に従って Security Tooling アカウントの証跡管理をログアーカイブアカウントのログストレージから分離できます。この設計を使用して、ログを管理する必要があるユーザーとログデータを使用する必要があるユーザーのために、最小特権のアクセスポリシーを作成することができます。
AWS Config
AWS Config では、AWS アカウントにおけるリソースとその構成方法についての詳細なビューを提供します。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
AWS Config では、AWS Config ルールと修復アクションのセットであるコンフォーマンスパックをデプロイできます。コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールを使用して、プライバシー、セキュリティ、運用、コスト最適化のガバナンスチェックを有効化できるように設計された汎用フレームワークを提供します。このツールは、大規模な自動化ツールのセットの一部として使用し、AWS のリソース設定が独自のコントロールフレームワーク要件に準拠しているかどうかを追跡できます。
NIST プライバシーフレームワーク v1.0 オペレーションのベストプラクティスコンフォーマンスパックは、NIST プライバシーフレームワークの多くのプライバシー関連コントロールと一致しています。各 AWS Config ルールが特定の AWS リソースに適用され、1 つ以上の NIST プライバシーフレームワークによるコントロールに関連付けられます。このコンフォーマンスパックを使用して、アカウントのリソース全体でプライバシー関連の継続的なコンプライアンスを追跡できます。以下は、このコンフォーマンスパックに含まれるルールの一部です。
-
no-unrestricted-route-to-igw– このルールは、VPC ルートテーブルのデフォルトルートである0.0.0.0/0またはインターネットゲートウェイへの出力ルートである::/0を継続的にモニタリングすることで、データプレーン上のデータ流出を防ぐのに役立ちます。これにより、特に悪意のあることがわかっている CIDR 範囲がある場合に、インターネットにバインドされたトラフィックを送信できる場所を制限できます。 -
encrypted-volumes– このルールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされている Amazon Elastic Block Store (Amazon EBS) ボリュームが暗号化されているかどうかを確認します。組織に、個人データを保護するための AWS Key Management Service (AWS KMS) キーの使用に関連する特定の制御要件がある場合は、ルールの一部として特定のキー ID を指定し、ボリュームが特定の AWS KMS キーで暗号化されていることを確認できます。 -
restricted-common-ports– このルールでは、Amazon EC2 セキュリティグループが指定されたポートへの無制限の TCP トラフィックを許可しているかどうかをチェックします。セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。0.0.0.0/0からリソース上の TCP 3389 や TCP 21 などの共通ポートへの入力トラフィックをブロックすると、リモートアクセスを制限できます。
AWS Config は、AWS リソースのプロアクティブコンプライアンスチェックとリアクティブコンプライアンスチェックの両方に使用できます。コンフォーマンスパックに含まれるルールを考慮するだけでなく、これらのルールを検出評価モードとプロアクティブ評価モードの両方に組み込むことができます。これにより、アプリケーション開発者はデプロイ前チェックの組み込みを開始できるため、ソフトウェア開発ライフサイクルの早い段階でプライバシーチェックを実装できます。例えば、AWS CloudFormation テンプレート内の宣言されたリソースと、プロアクティブモードが有効になっているすべてのプライバシー関連の AWS Config ルールとを照合するフックをテンプレートに含めることができます。詳細については、「AWS Config ルールがプロアクティブなコンプライアンスをサポートするようになりました
Amazon GuardDuty
AWS は、Amazon S3、Amazon Relational Database Service (Amazon RDS)、Kubernetes を使用した Amazon EC2 など、個人データの保存や処理に使用できる複数のサービスを提供します。Amazon GuardDuty は、インテリジェントな可視性と継続的なモニタリングを組み合わせて、個人データの意図しない開示に関連する可能性のある指標を検出します。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
GuardDuty を使用すると、攻撃ライフサイクル全体で潜在的に悪意のあるプライバシー関連のアクティビティを特定できます。例えば、GuardDuty は、ブラックリストに登録されたサイトへの接続、異常なネットワークポートトラフィックまたはトラフィックボリューム、DNS 漏洩、予期しない EC2 インスタンスの起動、異常な ISP 発信者について警告できます。また、GuardDuty を設定して、独自の信頼できる IP リストに対するアラートと独自の脅威リストからの悪意のある既知の IP アドレスについてのアラートを停止することもできます。
AWS SRA で推奨されているように、組織内のすべての AWS アカウントに対して GuardDuty を有効にし、Security Tooling アカウントを GuardDuty 委任管理者として設定できます。GuardDuty では、組織全体の調査結果をこの 1 つのアカウントに集約します。詳細については、「AWS Organizations を使用した GuardDuty アカウントの管理」を参照してください。また、検出と分析から封じ込めと根絶まで、インシデント対応プロセスにおけるプライバシー関連のステークホルダーをすべて特定し、データ漏洩を伴う可能性のあるインシデントにそれらを含めることを検討することもできます。
IAM Access Analyzer
多くのお客様は、個人データが事前に承認され、意図されたサードパーティープロセッサと適切に共有され、他のエンティティとは共有されていないということが継続的に保証されることを望んでいます。データ境界
AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) を使用すると、組織は信頼できる AWS アカウントゾーンを定義し、その信頼ゾーンに対する違反についてのアラートを設定できます。IAM Access Analyzer では、IAM ポリシーを分析して機密性の高いリソースへの意図しないパブリックアクセスまたはクロスアカウントアクセスを特定し、解決することができます。IAM Access Analyzer は、数理論理と推論を使用して、AWS アカウント以外からアクセスできるリソースの包括的な検出結果を生成します。最後に、過度に許可された IAM ポリシーに対応し、修復するために、IAM Access Analyzer を使用して、IAM の推奨プラクティスに照らして既存のポリシーを検証し、提案を提供できます。IAM Access Analyzer は、IAM プリンシパルの以前のアクセスアクティビティに基づいて、最小特権の IAM ポリシーを生成できます。CloudTrail ログを分析し、これらのタスクを引き続き実行するために必要なアクセス許可のみを付与するポリシーを生成します。
セキュリティコンテキストでの IAM Access Analyzer の使用方法に関する詳細については、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
Amazon Macie
Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするサービスです。Macie では、Amazon S3 バケットのセキュリティまたはプライバシーに関して潜在的なポリシー違反や問題を検出した場合に、その検出結果を生成します。Macie は、組織がコンプライアンスの取り組みをサポートするための自動化の実装に使用できる、もう一つのツールです。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「AWS セキュリティリファレンスアーキテクチャ」を参照してください。
Macie は、名前、住所、その他の識別可能な属性など、個人を特定できる情報 (PII) を含む機密データタイプの、大規模かつ増え続けるリストを検出できます。組織による個人データの定義を反映する検出基準を定義するために、カスタムデータ識別子を作成することもできます。
組織は、個人データを含む Amazon S3 バケットの予防的コントロールを定義するため、Macie を検証メカニズムとして使用し、個人データの所在と保護方法を継続的に確認することができます。開始するには、Macie を有効にして、機密データの自動検出を設定します。Macie は、アカウントと AWS リージョン全体で、すべての S3 バケット内のオブジェクトを継続的に分析します。Macie は、個人データが存在する場所を示すインタラクティブなヒートマップを生成して維持します。機密データの自動検出機能は、コストを削減し、検出ジョブを手動で設定する必要性を最小限に抑えるように設計されています。機密データの自動検出機能をベースに築き、Macie を使用して既存のバケット内の新しいバケットまたは新しいデータを自動的に検出し、割り当てられたデータ分類タグに対してデータを検証できます。このアーキテクチャを設定して、誤って分類されたバケットまたは未分類のバケットを適時に適切な開発チームとプライバシーチームに通知します。
AWS Organizations を使用することで、組織内のすべてのアカウントで Macie を有効にできます。詳細については、「Amazon Macie 内で組織を統合および設定する」を参照してください。
