セキュリティ基盤 - AWS 規範ガイダンス
セキュリティ機能セキュリティ設計原則CAF AWS と AWS Well-Architected フレームワークで AWS SRA を使用する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ基盤

簡単なアンケートに回答して、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。

AWS SRA は、 AWS クラウド導入フレームワーク (AWS CAF)、 AWS Well-Architected、 責任 AWS 共有モデルという 3 つの AWS セキュリティ基盤と一致しています。

AWS プロフェッショナルサービスは、企業がクラウド導入を成功させるための迅速な道を設計し、それに従うのに役立つ AWS CAF を作成しました。フレームワークが提供するガイダンスとベストプラクティスは、企業全体および IT ライフサイクル全体でクラウドコンピューティングへの包括的なアプローチを構築するのに役立ちます。CAF は、「パースペクティブ」と呼ばれる 6 AWS つの重点分野にガイダンスを整理します。 それぞれの視点は、機能に関連する利害関係者が所有または管理する明確な責任をカバーしています。一般に、ビジネス、人材、ガバナンスの視点はビジネス能力に重点を置き、プラットフォーム、セキュリティ、オペレーションの視点は技術的能力に焦点を当てています。

AWS CAF のセキュリティの視点は、ビジネス全体のコントロールの選択と実装を構築するのに役立ちます。セキュリティの柱の現在の AWS 推奨事項に従うことで、ビジネス要件と規制要件を満たすことができます。

AWS Well-Architected は、クラウドアーキテクトがアプリケーションとワークロードのための安全で高性能、耐障害性、効率的なインフラストラクチャを構築するのに役立ちます。このフレームワークは、運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化、持続可能性という 6 つの柱に基づいており、顧客とパートナーがアーキテクチャを評価し、時間の経過とともにスケールできる設計を実装するための一貫したアプローチ AWS を提供します。私たちは、well-architected ワークロードを設計することで、ビジネスの成功の可能性が大幅に高まると考えています。

Well-Architected フレームワークのセキュリティの柱では、クラウドテクノロジーを活用して、セキュリティ体制を改善できる方法でデータ、システム、アセットを保護する方法について説明します。これにより、現在の AWS 推奨事項に従うことで、ビジネス要件と規制要件を満たすことができます。Well-Architected フレームワークには、ガバナンス、サーバーレス、AI/ML、ゲームなど、特定のドメインのコンテキストをより詳細に把握できるその他の重点領域があります。これらは AWS Well-Architected レンズと呼ばれます。

セキュリティとコンプライアンスは、 AWS とお客様の間の責任共有です。この共有モデルは、ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理セキュリティまで、様々なコンポーネントを AWS が運用、管理、およびコントロールするのでお客様の運用上の負担を軽減できます。たとえば、ゲストオペレーティングシステム (更新とセキュリティパッチを含む)、アプリケーションソフトウェア、サーバー側のデータ暗号化、ネットワークトラフィックルートテーブル、および AWS提供されたセキュリティグループファイアウォールの設定の責任と管理を引き受けます。Amazon S3 や Amazon DynamoDB などの抽象化されたサービスの場合、 はインフラストラクチャレイヤー、オペレーティングシステム、プラットフォーム AWS を操作し、エンドポイントにアクセスしてデータを保存および取得します。お客様は、データ (暗号化オプションを含む) の管理、アセットの分類、IAM ツールを使用して適切なアクセス許可を適用する責任があります。この共有モデルは、 AWS がクラウドのセキュリティ ( で提供されているすべてのサービスを実行するインフラストラクチャの保護 AWS クラウド) を担当し、お客様がクラウドのセキュリティ (選択した AWS クラウド サービスによって決定される) を担当していると言うことで説明されることがよくあります。

これらの基本的なドキュメントで提供されるガイダンスでは、SRA の設計と理解には、セキュリティ機能とセキュリティ設計原則の 2 AWS つの概念セットが特に関連しています。

セキュリティ機能

CAF のセキュリティの観点からは、データとクラウドワークロードの機密性、完全性、可用性を実現するのに役立つ 9 AWS つの機能の概要を示しています。

  • セキュリティガバナンスは、組織の AWS 環境全体でセキュリティのロール、責任、ポリシー、プロセス、手順を開発して伝達します。

  • セキュリティおよびプライバシープログラムの有効性を監視、評価、管理、改善するためのセキュリティ保証

  • ID とアクセス管理は、ID とアクセス許可を大規模に管理します。

  • 潜在的なセキュリティ設定ミス、脅威、または予期しない動作を理解して特定するための脅威検出

  • セキュリティの脆弱性を継続的に特定、分類、修復、軽減するための脆弱性管理

  • ワークロード内のシステムとサービスが保護されていることを検証するためのインフラストラクチャ保護

  • データの可視性と制御、および組織内でのデータのアクセスと使用方法を維持するためのデータ保護

  • ソフトウェア開発プロセス中にセキュリティの脆弱性を検出して対処するのに役立つアプリケーションセキュリティ。

  • セキュリティインシデントに効果的に対応することで、潜在的な損害を軽減するためのインシデント対応。

セキュリティ設計原則

Well-Architected フレームワークのセキュリティの柱は、特定のセキュリティ領域をワークロードのセキュリティを強化するのに役立つ実用的なガイダンスに変換する 7 つの設計原則のセットをキャプチャします。セキュリティ機能が全体的なセキュリティ戦略を構成しているところでは、これらの Well-Architected フレームワークの原則は、実行できることを説明しています。これらはこの SRA AWS に非常に意図的に反映され、以下で構成されます。

  • 強力なアイデンティティ基盤を実装する ‒ 最小特権の原則を実装し、 AWS リソースとのやり取りごとに適切な認可で職務の分離を適用します。アイデンティティ管理を一元化し、長期的な静的認証情報への依存を排除することを目指します。

  • トレーサビリティを有効にする ‒ 環境に対するアクションと変更をリアルタイムでモニタリング、生成、監査します。ログとメトリクスの収集をシステムと統合して、自動的に調査してアクションを実行します。

  • すべてのレイヤーにセキュリティを適用する ‒ 複数のセキュリティコントロールでdefense-in-depthアプローチを適用します。エッジオブネットワーク、仮想プライベートクラウド (VPC)、ロードバランシング、インスタンスおよびコンピューティングサービス、オペレーティングシステム、アプリケーション設定、コードなど、複数のタイプのコントロール (予防コントロールや検出コントロールなど) をすべてのレイヤーに適用します。

  • セキュリティのベストプラクティスを自動化する ‒ 自動化されたソフトウェアベースのセキュリティメカニズムにより、より迅速かつ費用対効果の高い方法で安全にスケーリングする能力が向上します。セキュアなアーキテクチャを作成し、バージョン管理テンプレートでコードとして定義および管理されるコントロールを実装します。

  • 転送中および保管中のデータを保護する - データを機密レベルに分類し、必要に応じて暗号化、トークン化、アクセス制御などのメカニズムを使用します。

  • データから遠ざける ‒ メカニズムとツールを使用して、データに直接アクセスしたり手動で処理したりする必要性を減らしたり排除したりします。これにより、機密データを扱う際の誤処理や変更、人的ミスのリスクが軽減されます。

  • セキュリティイベントに備える ‒ 組織の要件に合ったインシデント管理と調査のポリシーとプロセスを用意して、インシデントに備えます。インシデント対応シミュレーションを実行し、ツールと自動化により、検出、調査、復旧のスピードを上げます。

CAF AWS と AWS Well-Architected フレームワークで AWS SRA を使用する方法

AWS CAF、 AWS Well-Architected Framework、および AWS SRA は、クラウド移行とモダナイゼーションの取り組みをサポートするために連携する補完的なフレームワークです。

  • AWS CAF は AWS 、経験とベストプラクティスを活用して、クラウド導入の価値を望ましいビジネス成果に合わせるのに役立ちます。 AWS CAF を使用して、トランスフォーメーションの機会を特定して優先順位付けし、クラウドの準備状況を評価して改善し、トランスフォーメーションロードマップを繰り返し進化させます。

  • AWS Well-Architected フレームワークは、ビジネス成果を満たすさまざまなアプリケーションやワークロード向けに、安全で高性能、耐障害性、効率的なインフラストラクチャを構築するための AWS 推奨事項を提供します。 

  • AWS SRA は、CAF と AWS Well-Architected AWS フレームワークの推奨事項に沿った方法でセキュリティサービスをデプロイして管理する方法を理解するのに役立ちます。 

たとえば、 AWS CAF セキュリティの観点からは、ワークフォース ID とその認証を一元管理する方法を評価することをお勧めします AWS。この情報に基づいて、Okta、Active Directory、Ping Identity などの新規または既存の企業 ID プロバイダー (IdP) ソリューションをこの目的で使用する場合があります。 AWS Well-Architected フレームワークのガイダンスに従い、IdP を と統合 AWS IAM アイデンティティセンター することで、従業員に対し、グループのメンバーシップとアクセス許可を同期できるシングルサインオンエクスペリエンスを提供します。 AWS SRA 推奨事項を確認して、 AWS 組織の管理アカウントで IAM Identity Center を有効にし、セキュリティ運用チームが使用するセキュリティツールアカウントを通じて管理します。この例では、CAF AWS が希望するセキュリティ体制に関する最初の決定にどのように役立つかを示し、 AWS Well-Architected フレームワークは、その目標を達成するために利用可能な を評価する方法に関するガイダンスを提供し、SRA AWS AWS のサービス は選択したセキュリティサービスをデプロイして管理する方法についての推奨事項を提供します。