翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セキュリティおよびコンプライアンスワークストリームのドメイン
このセクションでは、セキュリティとコンプライアンスのワークストリームが担当するドメインについて詳しく説明します。移行プロジェクトの動員フェーズでは、これらのドメインは、以下に関するセキュリティとコンプライアンスの計画と実装を加速するのに役立ちます AWS。
+ [セキュリティの検出と調整](discovery-and-alignment.md)
+ [セキュリティフレームワークマッピング](mapping.md)
+ [セキュリティの実装、統合、検証](implementation-integration-and-validation.md)
+ [セキュリティドキュメント](documentation.md)
+ [セキュリティとコンプライアンスのクラウド運用](cloud-operations.md)
以降の移行フェーズで移行アクティビティを保護し、モダナイズフェーズでは、これらのドメインに対応することが重要です。
# セキュリティの検出と調整
移行プロジェクトを動員する場合、セキュリティとコンプライアンスのワークストリームの最初のドメインは*、セキュリティの検出と調整*です。このドメインは、組織が次の目標を達成できるようにすることを目的としています。
+ セキュリティサービス、機能、コンプライアンス遵守に関する AWS セキュリティとコンプライアンスのワークストリームをトレーニングする
+ セキュリティとコンプライアンスの要件と現在のプラクティスについて説明します。インフラストラクチャと運用の観点から、以下の要件を考慮してください。
+ ターゲット終了状態のセキュリティチャレンジとドライバー
+ クラウドセキュリティチームのスキルセット
+ セキュリティリスクとコンプライアンスのポリシー、設定、コントロール、ガードレール
+ セキュリティリスク選好とベースライン
+ 既存および潜在的なセキュリティツール
## イマージョンデーワークショップ
これらの目標に合わせるには、セキュリティとコンプライアンスのイマージョンデーを使用します。*イマージョンデー*は、次のようなさまざまなセキュリティ関連のトピックをカバーするワークショップです。
+ [AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS セキュリティサービス](https://aws.amazon.com/products/security/)
+ [AWS セキュリティリファレンスアーキテクチャ (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS コンプライアンス](https://aws.amazon.com/compliance/)
+ AWS Well-Architected [フレームワークのセキュリティの柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
イマージョンデーワークショップは、セキュリティチームのナレッジベースラインを確立するのに役立ちます。 AWS セキュリティサービスとセキュリティおよびコンプライアンスのベストプラクティスについてトレーニングします。 AWS ソリューションアーキテクト、 AWS プロフェッショナルサービス、 AWS パートナーは、これらのインタラクティブなワークショップの実行に役立ちます。標準プレゼンテーションデッキ、AWS ラボ、ホワイトボードアクティビティを使用して、チームの準備に役立てます。
## 検出ワークショップ
イマージョンデーワークショップの後、複数の詳細なセキュリティおよびコンプライアンス検出ワークショップを実行します。これらは、チームがインフラストラクチャ、アプリケーション、運用の現在のセキュリティ、リスク、コンプライアンス (SRC) 要件を発見するのに役立ちます。これらの要件は、人、プロセス、テクノロジーという視点で分析します。以下は、各パースペクティブの検出領域です。
### 人々の視点
+ **組織構造 **– 現在のセキュリティとコンプライアンスのワークストリームの構造と責任を理解します。
+ **機能とスキルセット **— クラウドセキュリティ AWS のサービス とコンプライアンス機能に関する実践的な知識とスキルセットがあります。これには、検出、計画、実装、オペレーションが含まれます。
+ **責任、説明責任、相談、情報 (RACI) マトリックス** – 組織内の現在のセキュリティおよびコンプライアンス活動の役割と責任を定義します。
+ **文化 **– 現在のセキュリティとコンプライアンスの文化を理解します。ビルド、設計、実装、運用の各フェーズの一環として、セキュリティとコンプライアンスに優先順位を付けます。開発セキュリティオペレーション (DevSecOps) をクラウドセキュリティとコンプライアンスの文化に導入します。
### プロセスの視点
+ **プラクティス** – 現在のセキュリティおよびコンプライアンスプロセスを定義して文書化し、構築、設計、実装、運用を行います。プロセスには以下が含まれます。
+ ID アクセスと管理
+ インシデント検出のコントロールと対応
+ インフラストラクチャとネットワークのセキュリティ
+ データ保護
+ コンプライアンス
+ ビジネス継続性と復旧
+ **実装ドキュメント **– セキュリティおよびコンプライアンスポリシー、コントロール設定、ツールドキュメント、アーキテクチャドキュメントを文書化します。これらのドキュメントは、インフラストラクチャ、ネットワーク、アプリケーション、データベース、デプロイエリアのセキュリティとコンプライアンスをカバーするために必要です。
+ **リスクドキュメント** – リスク選好度としきい値の概要を示す情報セキュリティリスクドキュメントを作成します。
+ **検証 **– 内部および外部のセキュリティ検証および監査要件を作成します。
+ **ランブック** – セキュリティとコンプライアンスのための現在の標準的な実装とガバナンスのプロセスをカバーする運用ランブックを作成します。
### テクノロジーの視点
+ **サービスとツール** – ツールを使用して、セキュリティとコンプライアンスの体制を検証し、現在の IT 環境を強制および管理します。次のカテゴリのツールを確立します。
+ ID アクセスと管理
+ インシデント検出のコントロールと対応
+ インフラストラクチャとネットワークのセキュリティ
+ データ保護
+ コンプライアンス
+ ビジネス継続性と復旧
AWS セキュリティ検出ワークショップでは、標準化されたデータ収集テンプレートとアンケートを使用してデータを収集します。データの明確性の欠如や古いデータが原因で情報を提供できないシナリオでは、移行検出ツールを使用してアプリケーションおよびインフラストラクチャレベルのセキュリティ情報を収集できます。使用できる検出ツールのリストについては、 AWS 「 規範ガイダンス」の[「検出、計画、推奨事項の移行ツール](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/)」を参照してください。このリストには、各ツールの検出機能と使用に関する詳細が記載されています。また、IT ランドスケープの要件と制約を満たす最適なツールを選択するのに役立つツールを比較します。
最初のセキュリティ評価では、脅威モデリングから始めることを強くお勧めします。これにより、潜在的な脅威と既存の対策を特定できます。また、セキュリティ、コンプライアンス、リスクに関する事前定義された文書化された要件がある場合もあります。詳細については、[「ビルダー向け脅威モデリングワークショップ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (AWS トレーニング)」および[「脅威モデリングへのアプローチ方法](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)」(AWS ブログ記事) を参照してください。このアプローチは、 でのデプロイ、実装、ガバナンスのためのセキュリティおよびコンプライアンス戦略を再検討するのに役立ちます AWS クラウド。
# セキュリティフレームワークマッピング
セキュリティ検出および調整ドメインを完了したら、次のステップは*セキュリティフレームワークマッピングドメイン*を完了することです。このドメインは、検出されたセキュリティおよびコンプライアンス要件を AWS クラウド セキュリティサービスにマッピングするワークショッププロセスです。また、アーキテクチャと運用をセキュリティとコンプライアンスのベストプラクティスに AWS 合わせます。このワークショップでは、以下をカバーするために、人、プロセス、テクノロジーの観点からすべての要件をマッピングします。
+ AWS インフラストラクチャ
+ AWS アカウント、インフラストラクチャ、ネットワーク保護
+ データ保護
+ コンプライアンス
+ インシデントの検出と対応
+ ID とアクセス管理
+ ビジネス継続性と復旧
+ でのアプリケーション AWS
+ アプリケーションの保護に役立つ AWS のサービス のベストプラクティスに従う
+ アプリケーション、データベース、オペレーティングシステム、データのアクセスコントロール
+ オペレーティングシステムの保護
+ アプリケーション、データベース、データ保護
+ インシデントの検出と対応
+ コンプライアンス
+ アプリケーションのビジネス継続性と復旧
セキュリティフレームワークマッピングドメインを完了するときは、定義されたリスク選好度、チーム構造、チームのスキルセットと能力、セキュリティプロセス、セキュリティポリシー、セキュリティコントロール、ツール、セキュリティオペレーション、その他のセキュリティ要件と制約を考慮してください。全体として、セキュリティフレームワークマッピングは、業界標準とベストプラクティスに従って、セキュリティリスクを管理し、コンプライアンスを維持し、セキュリティ体制を継続的に改善するための体系的なアプローチを組織に提供します。
セキュリティフレームワークマッピングプロセスでは、[AWS セキュリティリファレンスアーキテクチャ (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)、 AWS Well-Architected [フレームワークのセキュリティの柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)、 AWS Well-Architected フレームワークの[移行レンズ](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html)、および[AWS セキュリティ入門](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html)ホワイトペーパーを使用します。これらのドキュメントは、クラウドセキュリティとコンプライアンスの AWS ベストプラクティスに従うのに役立つガイドリファレンスとして機能します。
ワークショップで標準化されたマッピングテンプレートを使用することで、要件をターゲットの終了状態にマッピングします。ターゲットの終了状態を達成するために必要なツール AWS のサービス、プロセス、ポリシー、コントロール、および変更を強調表示します。
セキュリティフレームワークマッピングワークショップを実行するときは、 AWS プロフェッショナルサービス、 AWS セキュリティソリューションアーキテクト、または AWS パートナーを使用できます。これらのリソースは、ワークショップの加速と促進に役立ちます。セキュリティフレームワークマッピングワークショップは、 AWS ソリューションアーキテクト、 AWS カスタマーソリューションマネージャー、または AWS パートナーが主導する[エクスペリエンスベースアクセラレーション (EBA) パーティー](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/)の一部として参加できます。EBA パーティーは、移行とモダナイゼーションのベストプラクティスに従う AWS 強力な AWS クラウド 基盤を構築するのに役立つアクセラレーターとして機能します。
# セキュリティの実装、統合、検証
セキュリティ、リスク、コンプライアンスの要件をマッピングした後、次のドメインは*セキュリティの実装、統合、検証*です。特定された要件に基づいて、リスクを効果的に軽減するための適切なセキュリティコントロールと対策を選択します。これには、暗号化、アクセスコントロール、侵入検知システム、ファイアウォールなどが含まれます。侵入検知および防止システム、エンドポイント保護、アイデンティティ管理などのセキュリティソリューションを既存の IT インフラストラクチャに統合して、包括的なセキュリティカバレッジを提供します。脆弱性スキャン、侵入テスト、コードレビューなどの定期的なセキュリティ評価を実施して、セキュリティコントロールの有効性を検証し、弱点やギャップを特定します。セキュリティの実装、統合、検証に焦点を当てることで、組織はセキュリティ体制を強化し、セキュリティ違反の可能性を減らし、規制要件と業界標準への準拠を実証することができます。
## 実装
まず、現在のセキュリティ、リスク、コンプライアンスのしきい値または需要に関するドキュメントを更新します。これにより、計画されたセキュリティとコンプライアンスの要件、コントロール、ポリシー、ツールをクラウドに実装できます。このステップは、検出ワークショップ中に特定された既存のリスク登録と選好が定義されている場合にのみ必要です。
次に、計画されたセキュリティとコンプライアンスの要件、コントロール、ポリシー、ツールをクラウドに実装します。インフラストラクチャ、オペレーティングシステム AWS のサービス、アプリケーションまたはデータベースの順に実装することをお勧めします。以下の表の情報を使用して、セキュリティとコンプライアンスのすべての必須領域に対処していることを確認します。
| | |
| --- |--- |
| **[面積]** | **セキュリティとコンプライアンスの要件** |
| インフラストラクチャ | AWS アカウント ランディングゾーン 予防的コントロール 「発見的コントロール」 ネットワークセグメンテーション アクセスコントロール 暗号化 ログ記録、モニタリング、アラート |
| AWS のサービス | AWS のサービス 設定 インスタンス Storage Network アクセスコントロール 暗号化 更新とパッチ ログ記録、モニタリング、アラート |
| オペレーティングシステム | ウイルス対策 マルウェアとワームの保護 設定 ネットワーク保護 アクセスコントロール 暗号化 更新とパッチ ログ記録、モニタリング、アラート |
| アプリケーションまたはデータベース | 設定 コードとスキーマ アクセスコントロール 暗号化 更新とパッチ ログ記録、モニタリング、アラート |
## 統合
セキュリティ実装には、多くの場合、以下との統合が必要です。
+ **ネットワーク** — 内外のネットワーク AWS クラウド
+ **ハイブリッド IT ランドスケープ **– オンプレミス AWS クラウド、パブリッククラウド、プライベートクラウド、コロケーションなど、 以外の IT 環境
+ **外部ソフトウェアまたはサービス **– 独立系ソフトウェアベンダー (ISVs) によって管理され、お客様の環境でホストされていないソフトウェアおよびサービス。
+ **クラウド運用モデルサービス** – DevSecOps 機能を提供する AWS クラウド運用モデルサービス。
移行プロジェクトの評価フェーズでは、検出ツール、既存のドキュメント、またはアプリケーションインタビューワークショップを使用して、これらのセキュリティ統合ポイントを特定して確認します。でワークロードを設計および実装するときは AWS クラウド、マッピングワークショップで定義したセキュリティおよびコンプライアンスポリシーとプロセスに従って、これらの統合を確立します。
## 検証
実装と統合の後、次のアクティビティは実装を検証することです。セットアップがセキュリティとコンプライアンスの AWS ベストプラクティスに沿っていることを確認します。次の 2 つのカバレッジエリアからセキュリティを検証することをお勧めします。
+ **ワークロード固有の脆弱性評価とペネトレーションテスト **- で実行されるワークロードのオペレーティングシステム、アプリケーション、データベース、またはネットワークセキュリティを検証します AWS のサービス。これらの検証を実行するには、既存のツールとテストスクリプトを使用します。これらの評価を実行するときは、[AWS ペネトレーションテストのカスタマーサポートポリシー](https://aws.amazon.com/security/penetration-testing/)に準拠することが重要です。
+ **AWS** **セキュリティのベストプラクティスの検証** - AWS 実装が AWS Well Architected Framework および Center for Internet Security (CIS) などの他の選択されたベンチマークに準拠しているかどうかを検証します。この検証では、、[Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub)[AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)、[AWS Service Screener](https://github.com/aws-samples/service-screener-v2) (GitHub)、[AWS セルフサービスセキュリティ評価](https://github.com/awslabs/aws-security-assessment-solution) (GitHub) などのツールとサービスを使用できます。
セキュリティとコンプライアンスに関するすべての調査結果を文書化し、セキュリティチームやリーダーに伝えることが重要です。レポートテンプレートを標準化し、それらを使用して、それぞれのセキュリティステークホルダーとのコミュニケーションを容易にします。検出結果の修正中に行われたすべての例外を文書化し、それぞれのセキュリティ関係者がサインオフしていることを確認します。
# セキュリティドキュメント
移行中にセキュリティとコンプライアンスを動員するときは、クラウドでセキュリティとコンプライアンスを実装する方法を定義して文書化することが重要です。ドキュメントには以下が含まれている必要があります。
+ **セキュリティとコンプライアンスの実装ドキュメント** – セキュリティとコンプライアンスの定義、プロセス、ポリシー、コントロール、設定、ツールを詳述した 1 つ以上のドキュメントを作成します。これらのドキュメントが、これらの側面に AWS クラウド 視点から対応していることを確認します。このドキュメントには以下を含めます。
+ ID アクセスと管理
+ インシデント検出のコントロールと対応
+ インフラストラクチャとネットワークのセキュリティ
+ データ保護
+ コンプライアンス
+ ビジネス継続性と復旧
+ **セキュリティとコンプライアンスランブック** – クラウド運用チームをガイドするセキュリティとコンプライアンスの運用ランブックを作成します。運用要件の一環として、クラウドでセキュリティとコンプライアンスのタスク、アクティビティ、変更を完了する方法を詳述する必要があります。これには、セキュリティとコンプライアンスのモニタリング、インシデント管理、検証、継続的な改善が含まれます。ランブックが、セキュリティ検出および調整ドメイン中に特定した要件に対応していることを確認します。
+ **クラウドセキュリティ RACI マトリックス** – 以下の分野のセキュリティとコンプライアンスの責任とステークホルダーを定義する責任、説明責任、相談、情報 (RACI) マトリックスを作成します。
+ 設計と開発
+ デプロイと実装
+ オペレーション
# セキュリティとコンプライアンスのクラウド運用
最後のドメインは、*セキュリティとコンプライアンスのクラウドオペレーション*です。これは、定義されたセキュリティおよびコンプライアンス運用ランブックを使用してクラウド運用を管理する継続的なアクティビティです。また、セキュリティクラウド運用モデルを構築して、組織内のセキュリティとコンプライアンスの責任を決定します。
## セキュリティとコンプライアンスのクラウド運用モデル
このドメインでは、セキュリティのための[クラウド運用モデル](apg-gloss.md#glossary-com)を定義します。クラウド運用モデルは、検出ワークショップ中に特定し、後でランブックとして定義された要件に対処する必要があります。セキュリティとコンプライアンスのクラウド運用モデルは、次の 3 つの方法のいずれかで設計できます。
+ **一元化** – SecOps がビジネス全体のセキュリティイベントの特定と修復を担当する、より従来のモデル。これには、パッチ適用やセキュリティ設定の問題など、ビジネスの一般的なセキュリティ体制の結果の確認が含まれます。
+ **分散型** – ビジネス全体のセキュリティイベントへの対応と修復の責任は、アプリケーション所有者と個々のビジネスユニットに委任されており、中央運用機能はありません。通常、ポリシーと原則を定義する包括的なセキュリティガバナンス機能はまだあります。
+ **ハイブリッド** – SecOps には、セキュリティイベントへの対応を特定して調整する責任と所有権のレベルがあり、修復の責任はアプリケーション所有者と個々のビジネスユニットが所有します。
セキュリティとコンプライアンスの要件、組織の成熟度、制約に基づいて、適切な運用モデルを選択することが重要です。セキュリティとコンプライアンスの要件と制約は、検出ワークショップ中に特定されました。一方、組織の成熟度は、運用セキュリティプラクティスのレベルを定義します。成熟度範囲の例を次に示します。
+ **低** – ログ記録はローカルで、一部の または散発的なアクションが実行されます。
+ **中 **– さまざまなソースからのログが相関し、自動アラートが確立されます。
+ **高** – 詳細なプレイブックが存在し、標準化されたプロセスレスポンスに関する詳細が含まれています。 運用上および技術的には、アラートレスポンスの大部分が自動化されています。
セキュリティとコンプライアンスのクラウド運用モデルをさらに理解し、適切な設計の選択を支援するには、[「クラウドにおけるセキュリティ運用に関する考慮事項](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/)」(AWS ブログ記事) を参照してください。事前定義された要件がないシナリオでは、クラウド運用モデルの一部としてセキュリティオペレーションセンター (SOC) を設定することをお勧めします。これは通常、一元化された運用モデルのプラクティスです。このアプローチでは、イベントを複数のソースから一元化されたチームに送信し、アクションとレスポンスをトリガーできます。これにより、クラウド運用を通じてセキュリティガバナンスが標準化されます。 AWS および AWS パートナーは、SOC を構築し、Security Orchestration, Automation, and Response (SOAR) を定義および実装するのに役立ちます。 AWS および AWS パートナーは、 AWS パートナーからのプロフェッショナルサービスのコンサルティング、定義されたテンプレート AWS のサービス、およびサードパーティーツールを使用します。
## 継続的なセキュリティオペレーション
このドメインでは、定義されたセキュリティおよびコンプライアンスオペレーションランブックを使用して、以下のタスクを継続的に実行します。
+ **セキュリティとコンプライアンスのモニタリング** – 定義したツール、メトリクス AWS のサービス、基準、頻度を使用して、セキュリティイベントと脅威を一元的にモニタリングします。運用チームまたは SOC は、組織の構造に応じて、この継続的なモニタリングを管理します。セキュリティモニタリングには、大量のログとデータの分析と相関関係が含まれます。ログデータはエンドポイント、ネットワーク AWS のサービス、インフラストラクチャ、アプリケーションから取得され、[Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) やセキュリティ情報イベント管理 (SIEM) システムなどの一元化されたリポジトリに保存されます。アラートを設定して、イベントにタイムリーに手動または自動で応答できるようにすることが重要です。
+ **インシデント管理** – ベースラインのセキュリティ体制を定義します。設定ミスや外部要因によってプリセットベースラインからの逸脱が発生した場合は、インシデントを記録します。割り当てられたチームがこれらのインシデントに応答していることを確認します。クラウドでのインシデント対応プログラムを成功させるための基盤は、インシデント対応プログラムの各段階 (準備、運用、インシデント後のアクティビティ) に人材、プロセス、ツールを統合することです。クラウドインシデント対応プログラムを成功させるには、教育、トレーニング、経験が不可欠です。理想的には、これらは潜在的なセキュリティインシデントを処理する前に十分に実装されます。効果的なセキュリティインシデント対応プログラムの設定の詳細については、[AWS 「セキュリティインシデント対応ガイド](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html)」を参照してください。
+ **セキュリティ検証** – セキュリティ検証には、脆弱性評価、侵入テスト、カオスセキュリティのシミュレートされたイベントテストの実行が含まれます。セキュリティ検証は、特に以下のシナリオでは、定期的に実行する必要があります。
+ ソフトウェアの更新とリリース
+ マルウェア、ウイルス、ワームなど、新しく特定された脅威
+ 内部および外部監査要件
+ セキュリティ違反
セキュリティ検証プロセスを文書化し、データ収集とレポートのための人材、プロセス、スケジュール、ツール、テンプレートを強調することが重要です。これにより、セキュリティ検証が標準化されます。クラウドでセキュリティ検証を実行する場合、[AWS ペネトレーションテストのカスタマーサポートポリシー](https://aws.amazon.com/security/penetration-testing/)に引き続き準拠してください。
+ **内部監査と外部監査** – 内部監査と外部監査を実施して、セキュリティとコンプライアンスの設定が規制または内部ポリシーの要件を満たしていることを確認します。事前定義されたスケジュールに基づいて定期的に監査を実行します。内部監査は通常、内部セキュリティおよびリスクチームによって実施されます。外部監査は、関連する機関または標準関係者によって実施されます。監査プロセスを容易に[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)するために AWS のサービス、 [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)や などの を使用できます。これらのサービスは、セキュリティ IT 監査レポートに関連する証拠を提供できます。また、証拠収集を自動化することで、規制や業界標準によるリスクとコンプライアンスの管理を簡素化することもできます。これにより、*コントロール*と呼ばれるポリシー、手順、アクティビティが効果的に運用されているかどうかを評価できます。また、コンプライアンスを確保するために、監査要件をマネージドサービスパートナーと調整することも重要です。
**セキュリティアーキテクチャのレビュー** – セキュリティとコンプライアンスの観点から、 AWS アーキテクチャの定期的なレビューと更新を完了します。アーキテクチャを四半期ごとに、またはアーキテクチャが変更されたときに確認します。 は AWS 引き続き、セキュリティとコンプライアンスの機能とサービスの更新と改善をリリースします。[AWS セキュリティリファレンスアーキテクチャ](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)と AWS Well Architected ツールを使用して、これらのアーキテクチャレビューを容易にします。レビュープロセスの後に、セキュリティとコンプライアンスの実装と推奨される変更を文書化することが重要です。
## AWS オペレーション用の セキュリティサービス
のセキュリティとコンプライアンス AWS の責任は、 で と共有します AWS クラウド。この関係については、 [AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)で詳しく説明されています。は**クラウドのセキュリティ AWS を管理しますが、クラウド内のセキュリティはお客様の責任*となります*。オンプレミスデータセンターの場合と同じく、独自のコンテンツ、インフラストラクチャ、アプリケーション、システム、ネットワークを保護する責任があります。におけるセキュリティとコンプライアンスに関するお客様の責任 AWS クラウド は、使用するサービス、それらのサービスを IT 環境に統合する方法、適用可能な法律と規制によって異なります。
の利点 AWS クラウド は、 AWS ベストプラクティスとセキュリティおよびコンプライアンスサービスを使用して、スケーリングとイノベーションを可能にすることです。これにより、使用するサービスに対してのみ料金を支払うと同時に、安全な環境を維持できます。また、セキュリティの高いエンタープライズ組織がクラウド環境を保護するために使用するのと同じ AWS セキュリティおよびコンプライアンスサービスにもアクセスできます。
健全で安全な基盤上にクラウドアーキテクチャを構築することは、クラウドのセキュリティとコンプライアンスを確保するための最初で最善のステップです。ただし、 AWS リソースは、設定するのと同じくらい安全です。セキュリティとコンプライアンスの効果的な体制は、運用レベルで継続的かつ厳格な順守によってのみ実現されます。セキュリティおよびコンプライアンスオペレーションは、5 つのカテゴリに大別できます。
+ データ保護
+ ID アクセスと管理
+ ネットワークとアプリケーションの保護
+ 脅威の検出と継続的なモニタリング
+ コンプライアンスとデータプライバシー
AWS セキュリティおよびコンプライアンスサービスは、これらのカテゴリにマッピングされ、包括的な要件を満たすのに役立ちます。これらのカテゴリに分類される AWS セキュリティとコンプライアンスのコアサービスとその機能は次のとおりです。これらのサービスは、クラウドセキュリティガバナンスの構築と実施に役立ちます。
### データ保護
AWS は、データ、アカウント、ワークロードを不正アクセスから保護するのに役立つ以下のサービスを提供します。
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) – で使用する SSL/TLS 証明書をプロビジョニング、管理、デプロイします AWS のサービス。
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) – でハードウェアセキュリティモジュール (HSMs) を管理します AWS クラウド。
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) – データの暗号化に使用されるキーを作成して制御します。
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) – 機械学習を活用したセキュリティ機能を使用して、機密データを検出、分類、保護します。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) – ライフサイクルを通じてデータベース認証情報、API キー、その他のシークレットをローテーション、管理、取得します。
### ID とアクセス管理
次の AWS ID サービスは、ID、リソース、およびアクセス許可を大規模に安全に管理するのに役立ちます。
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html): Web およびモバイルアプリケーションに、ユーザーサインアップ、サインイン、アクセス制御を追加します。
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) – でマネージド Microsoft Active Directory を使用します AWS クラウド。
+ [AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) – 複数の AWS アカウント およびビジネスアプリケーションへのシングルサインオン (SSO) アクセスを一元管理します。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) – および リソースへのアクセス AWS のサービス を安全に制御します。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) – 複数の にポリシーベースの管理を実装します AWS アカウント。
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) – アカウント間で AWS リソースを共有します。
### ネットワークとアプリケーションの保護
このサービスのカテゴリは、組織全体のネットワークコントロールポイントにきめ細かなセキュリティポリシーを適用するのに役立ちます。以下は AWS のサービス 、ホストレベル、ネットワークレベル、およびアプリケーションレベルの境界での不正なリソースアクセスを防ぐために、トラフィックを検査およびフィルタリングするのに役立ちます。
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) – AWS アカウント および アプリケーション間の AWS WAF ルールを一元的に設定および管理します。
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) – 仮想プライベートクラウド (VPCs) に不可欠なネットワーク保護をデプロイします。
+ [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) – VPCs からのアウトバウンド DNS リクエストを保護するのに役立ちます。
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html) – マネージド DDoS 保護を使用してウェブアプリケーションを保護します。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) – OS パッチの適用、安全なシステムイメージの作成、オペレーティングシステムの設定を行うために、Amazon Elastic Compute Cloud (Amazon EC2) とオンプレミスシステムを設定および管理します。
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) – 論理的に隔離された セクションをプロビジョニング AWS し、定義した仮想ネットワークで AWS リソースを起動できるようにします。
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) – 一般的なウェブエクスプロイトからウェブアプリケーションを保護するのに役立ちます。
### 脅威の検出と継続的なモニタリング
以下の AWS モニタリングおよび検出サービスは、 AWS 環境内の潜在的なセキュリティインシデントを特定するのに役立ちます。
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) – ユーザーアクティビティと API 使用状況を追跡して、 のガバナンス、運用、リスク監査を有効にします AWS アカウント。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) – AWS リソースの設定を記録して評価し、コンプライアンスの監査、リソースの変更の追跡、リソースセキュリティの分析に役立ちます。
+ [AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – リソースの分離、追加データによるイベントの強化、既知の正常な状態への設定の復元など、環境の変化に応じて自動的に動作するルールを作成します。
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html):セキュリティデータを分析して視覚化し、潜在的なセキュリティ問題の根本原因を迅速に把握できます。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) – インテリジェントな脅威検出 AWS アカウント と継続的なモニタリングにより、 および ワークロードを保護します。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html): AWSにデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるためのセキュリティ評価を自動化します。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) – サーバーをプロビジョニングまたは管理せずにコードを実行し、インシデントに対するプログラムされた自動応答をスケールできるようにします。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):セキュリティアラートを表示および管理し、一元的な場所からコンプライアンスチェックを自動化します。
### コンプライアンスとデータプライバシー
以下に、コンプライアンスステータスの包括的なビュー AWS のサービス を示します。 AWS ベストプラクティスと業界標準に基づく自動コンプライアンスチェックを使用して、環境を継続的にモニタリングします。
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) – AWS セキュリティおよびコンプライアンスレポートへのオンデマンドアクセスを取得し、オンライン契約を選択します。
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) – AWS 使用状況を継続的に監査して、リスク管理の方法を簡素化し、規制や業界標準への準拠を維持します。