翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インシデント対応に関するセキュリティ推奨事項
組織でセキュリティイベントが発生した場合、ユーザーは問題に対処できるよう準備しておく必要があります。すべてのユーザーは、組織のセキュリティ対応プロセスの基本を理解している必要があります。インシデント対応プログラムを成功させるには、計画、トレーニング、経験が不可欠です。潜在的なセキュリティイベントが発生する前に、組織としての準備を整えておくことが理想です。 AWS Well-Architected フレームワークは、クラウドでのインシデント対応プログラムを成功させるために必要な、*準備*、*運用*、*インシデント後のアクティビティ*の 3 つの基盤を特定します。詳細については、[「 Well-Architected フレームワーク」の AWS 「インシデント対応の側面](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/aspects-of-aws-incident-response.html)」を参照してください。 AWS
イベントについて通知したりイベントに自動的に応答したりするセキュリティコントロールを除き、インシデント対応のために設定できるコントロールは限られています。強固なインシデント対応体制は、主に組織で使用する計画、プロセス、ランブック、プレイブック、トレーニングプログラムを通じて確立されます。このセクションのコントロールと推奨事項を使用することで、インシデント対応プログラムのベストプラクティスを実装できます。インシデント対応のベストプラクティスと実装ガイダンスの詳細については、 AWS 「 Well-Architected フレームワーク」の[「インシデント対応](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)」を参照してください。
**Topics**
+ [インシデント対応計画を定義](#incident-response-plan)
+ [インシデント対応のランブックとプレイブックの作成と保守](#runbooks-playbooks)
+ [イベント駆動型セキュリティオートメーションを実装](#automation)
+ [運用チームが と連携する方法を文書化する サポート](#engage-support)
+ [セキュリティイベントのアラートを設定](#alert-events)
## インシデント対応計画を定義
明確に定義されたインシデント対応計画 (IRP) を確立します。インシデント対応計画は、インシデント対応プログラムの基礎となるように設計されています。この計画は、各組織のニーズに合わせてカスタマイズする必要があります。
詳細については、以下のリソースを参照してください。
+ [インシデント対応計画を作成してテストする](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/develop-and-test-incident-response-plan.html) (*AWS Security Incident Response ガイド*)
+ AWS Well-Architected フレームワークで[インシデント管理計画を作成する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_develop_management_plans.html)
+ [重要な人員と外部リソースを特定する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_identify_personnel.html) ( AWS Well-Architected フレームワーク)
## インシデント対応のランブックとプレイブックの作成と保守
インシデント対応プロセスを準備する上で重要なのは、プレイブックを作成することです。インシデント対応プレイブックには、セキュリティイベントが発生したときに従うべき一連の手順が記載されています。明確な体制と手順があると、対応が簡単になり、人為的ミスの可能性が低くなります。
詳細については、以下のリソースを参照してください。
+ [プレイブックの作成対象](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/what-to-create-playbooks-for.html) (*AWS Security Incident Response ガイド*)
+ での[AWS インシデント対応プレイブックのサンプル](https://github.com/aws-samples/aws-incident-response-playbooks) GitHub
+ [セキュリティインシデント対応プレイブックを作成し、テストする](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_playbooks.html) ( AWS Well-Architected フレームワーク)
## イベント駆動型セキュリティオートメーションを実装
*セキュリティレスポンスの自動化*とは、セキュリティイベントに自動的に応答または修正するように設計された、事前定義されプログラムされたアクションのことです。こうした自動化は、検出またはレスポンシブのセキュリティコントロールとして機能し、 AWS セキュリティのベストプラクティス実装に役立ちます。自動レスポンスアクションの例には、VPC セキュリティグループの変更、Amazon EC2 インスタンスへのパッチ適用、認証情報の更新などがあります。
多くの は自動応答 AWS のサービス をサポートしています。例えば、特定のメトリクスに対して Amazon CloudWatch アラームを設定し、アラームの状態が変化した際にアクションを開始するようにできます。Amazon EventBridge を使用して、 および Amazon Inspector の検出結果の自動応答 AWS Security Hub CSPM と修復を設定することもできます。
詳細については、以下のリソースを参照してください。
+ [Remediate Amazon Inspector security findings automatically](https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/) ( AWS Security Blog)
+ [セキュリティブログの でセキュリティレスポンスの自動化を開始する AWS](https://aws.amazon.com/blogs/security/how-get-started-security-response-automation-aws/) AWS
+ AWS ソリューションライブラリの [でのセキュリティ自動応答 AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)
+ [Amazon CloudWatch でのアラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) (CloudWatch ドキュメント)
+ Security Hub CSPM ドキュメントの[「自動応答と修復](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cloudwatch-events.html)」
+ [Amazon EventBridge を使用して Amazon Inspector の検出結果に対するカスタムレスポンスを作成する](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html) (Amazon Inspector ドキュメント)
## 運用チームが と連携する方法を文書化する サポート
では AWS アカウント、プライマリ連絡先と 3 つの代替連絡先を定義できます。各 AWS アカウント または組織のセキュリティ連絡先を指定することをお勧めします。
AWS サポート は、 AWS ソリューションの成功と運用の健全性をサポートできるツールと専門知識へのアクセスを提供するさまざまなプランを提供します。また、組織が サポート プラン AWS Managed Services の代わりに を使用することのメリットがあるかどうかを検討してください。 [AWS Managed Services (AMS)](https://docs.aws.amazon.com/managedservices/?id=docs_gateway) は、モニタリング、インシデント管理、セキュリティガイダンス、パッチサポート、 AWS ワークロードのバックアップなど、 AWS インフラストラクチャを継続的に管理することで、より効率的かつ安全に運用するのに役立ちます。AMS サポートモデルは、クラウド運用チームのリソースが限られている組織に適しています。これらのモデルと計画を比較して、組織のユースケースとクラウド成熟度レベルに最適なものを選択することをお勧めします。
詳細については、以下のリソースを参照してください。
+ [AWS 「 セキュリティインシデント対応ガイド」の「対応チームとサポート](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/understand-aws-response-teams-and-support.html)」を理解する *AWS *
+ [AWS アカウントの代替連絡先の更新](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) (*AWS アカウント管理ガイド*)
+ AWS ウェブサイトで[計画を比較する サポート](https://aws.amazon.com/premiumsupport/plans/)
+ AWS 規範ガイダンスの[目標ビジネス成果を達成するために AWS Managed Services を使用する戦略](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-aws-managed-services-outcomes/introduction.html)
## セキュリティイベントのアラートを設定
異常の検出は、その異常を制御するために実装される対策と同じくらい重要です。アラートは、検出フェーズの主要コンポーネントです。目的の AWS アカウント アクティビティに基づいてインシデント対応プロセスを開始する通知を生成します。アラートには、チームが対応するための関連情報が含まれるようにしてください。
詳細については、以下のリソースを参照してください。
+ [検出](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) (*AWS Security Incident Response ガイド*)
+ AWS Well-Architected フレームワークで[フォレンジック機能を準備する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_prepare_forensic.html)
+ AWS Well-Architected フレームワークで[実用的なセキュリティイベントを実装](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_actionable_events.html)する