翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # セキュリティ OU — ログアーカイブアカウント | | | --- | | [簡単な調査](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)を行い、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。 | 次の図は、ログアーカイブアカウントで設定されている AWS セキュリティサービスを示しています。 ![ログアーカイブアカウントのセキュリティサービス。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/security-reference-architecture/images/log-archive-acct.png) ログアーカイブアカウントは、セキュリティ関連のすべてのログとバックアップの取り込みとアーカイブ専用です。一元化されたログを使用すると、Amazon S3 オブジェクトアクセス、ID による不正なアクティビティ、IAM ポリシーの変更、および機密リソースで実行されるその他の重要なアクティビティをモニタリング、監査、およびアラートを実行できます。セキュリティの目的はシンプルです。これは不変のストレージであり、制御、自動化、モニタリングされたメカニズムによってのみ、イミュータブルに保存、アクセスされ、耐久性のために構築されている必要があります(適切なレプリケーションおよびアーカイブプロセスの使用などによる)。ログとログ管理プロセスの整合性と可用性を保護するために、コントロールを詳細に実装できます。アクセスに使用する最小特権ロールの割り当てや、制御された AWS KMS キーによるログの暗号化などの予防的コントロールに加えて、 などの検出コントロールを使用して、予期しない変更がないかこのアクセス許可のコレクション AWS Config をモニタリング (および警告して修正) します。 **設計上の考慮事項** インフラストラクチャ、オペレーション、およびワークロードチームが使用するオペレーションログデータは、多くの場合、セキュリティ、監査、コンプライアンスチームが使用するログデータと重複します。オペレーションログデータを ログアーカイブアカウントに統合することをお勧めします。特定のセキュリティおよびガバナンス要件に基づいて、このアカウントに保存されたオペレーションログデータをフィルタリングする必要がある場合があります。また、ログアーカイブアカウントのオペレーションログデータにアクセスできるユーザーを指定する必要がある場合もあります。 ## ログの種類 AWS SRA に表示されるプライマリログには、 AWS CloudTrail (組織証跡)、Amazon VPC フローログ、Amazon CloudFront および からのアクセスログ AWS WAF、Amazon Route 53 からの DNS ログが含まれます。これらのログは、ユーザー、ロール、またはネットワークエンティティ (IP アドレスなどで識別) によって実行 ( AWS のサービスまたは試行) されたアクションの監査を提供します。他のログタイプ(アプリケーションログやデータベースログなど)もキャプチャ、アーカイブすることができます。ログソースおよびログのベストプラクティスの詳細については、[各サービスのセキュリティドキュメント](https://docs.aws.amazon.com/security/) を参照してください。 ## 中央ログストアとしての Amazon S3 多くの AWS のサービス ログ情報は、デフォルトでも排他的にも Amazon S3 に記録されます。 AWS CloudTrail、Amazon VPC フローログ、Elastic Load Balancing、Amazon GuardDuty、および AWS WAF は AWS Config、Amazon S3 で情報をログに記録するサービスの例です。つまり、ログの整合性は S3 オブジェクトの整合性を通じて達成され、ログの機密性は S3 オブジェクトのアクセスコントロールを通じて達成され、ログの可用性は S3 オブジェクトロック、S3 オブジェクトバージョン、S3 ライフサイクルルールを通じて達成されます。専用アカウントにある専用の一元化された S3 バケットに情報をログ記録することで、これらのログをわずか数個のバケットで管理し、厳格なセキュリティコントロール、アクセス、職務の分離を適用できます。 AWS SRA では、Amazon S3 に保存されているプライマリログは CloudTrail から取得されるため、このセクションではこれらのオブジェクトを保護する方法について説明します。このガイダンスは、独自のアプリケーションまたは他のアプリケーションによって作成された他の S3 オブジェクトにも適用されます AWS のサービス。これらのパターンは、Amazon S3 に高い整合性、強力なアクセスコントロール、自動保持または破棄を必要とするデータがあるたびに適用します。  S3 バケットにアップロードされたすべての新しいオブジェクト (CloudTrail ログを含む) は、Amazon S3 S3-managed[暗号化キー (SSE-S3) による Amazon サーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html)を使用してデフォルトで暗号化されます。これにより、保管中のデータを保護することができますが、アクセスコントロールは IAM ポリシーによってのみ制御されます。追加のマネージドセキュリティレイヤーを提供するには、すべてのセキュリティ S3 バケットで管理する AWS KMS キー (SSE-KMS) でサーバー側の暗号化を使用できます。これにより、第 2 レベルのアクセスコントロールが追加されます。ログファイルを読み取るには、ユーザーは Amazon S3 S3 読み取りアクセス許可と、関連付けられたキーポリシーによる復号化を許可する IAM ポリシーまたはロールの両方を持っている必要があります。 2 つのオプションは、Amazon S3 に保存されている CloudTrail ログオブジェクトの整合性を保護または検証するのに役立ちます。CloudTrail は[、CloudTrail がログファイルを配信した後にログファイルが変更または削除されたかどうかを判断するためのログファイルの整合性検証](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html)を提供します。 CloudTrail もう 1 つのオプションは [S3 オブジェクトロック](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)です。 S3 バケット自体を保護するだけでなく、ログ記録サービス (CloudTrail など) とログアーカイブアカウントの最小特権の原則に従うことができます。例えば、 AWS マネージド IAM ポリシーによって付与されたアクセス許可を持つユーザーは`AWSCloudTrail_FullAccess`、その中で最も機密性が高く重要な監査機能を無効化または再設定できます AWS アカウント。この IAM ポリシーの適用は、できるだけ少ない人数に制限してください。  AWS Config や IAM Access Analyzer によって提供されるような検出コントロールを使用して、この広範な予防コントロールの集合をモニタリング (および警告して修正) して、予期しない変更がないか調べます。 S3 バケットのセキュリティのベストプラクティスの詳細については、[Amazon S3 ドキュメント](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html)、[オンライン技術トーク、ブログ記事](https://www.youtube.com/watch?v=7M3s_ix9ljE)[Amazon S3 でデータを保護するためのセキュリティのベストプラクティスのトップ 10](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-data-in-amazon-s3/)」を参照してください。 **実装例** [AWS SRA コードライブラリ](https://github.com/aws-samples/aws-security-reference-architecture-examples)は、[Amazon S3 ブロックアカウントのパブリックアクセス](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/s3/s3_block_account_public_access)のサンプル実装を提供します。このモジュールは、 AWS 組織内のすべての既存および将来のアカウントの Amazon S3 パブリックアクセスをブロックします。 ## Amazon Security Lake AWS SRA では、Amazon Security Lake の委任管理者アカウントとして Log Archive アカウントを使用することをお勧めします。これを行うと、Security Lake は、他の SRA が推奨するセキュリティログと同じアカウントの専用 S3 バケットでサポートされているログを収集します。 ログの可用性とログ管理プロセスを保護するために、Security Lake の S3 バケットには、Security Lake サービス、またはソースまたはサブスクライバーの Security Lake によって管理される IAM ロールのみがアクセスする必要があります。アクセス用の最小特権ロールの割り当て、制御された AWS KMS キーによるログの暗号化などの予防コントロールの使用に加えて、 などの検出コントロールを使用して、このアクセス許可のコレクション AWS Config を予期しない変更がないかモニタリング (およびアラートと修正) します。 Security Lake 管理者は、 AWS 組織全体でログ収集を有効にできます。これらのログは、ログアーカイブアカウントのリージョン S3 バケットに保存されます。さらに、ログを一元化し、ストレージと分析を容易にするために、Security Lake 管理者は、すべてのリージョンの S3 バケットからのログが統合および保存される 1 つ以上のロールアップリージョンを選択できます。サポートされている からのログ AWS のサービス は、Open Cybersecurity Schema Framework (OCSF) と呼ばれる標準化されたオープンソーススキーマに自動的に変換され、Security Lake S3 バケットの Apache Parquet 形式で保存されます。OCSF サポートにより、Security Lake は およびその他のエンタープライズセキュリティソースのセキュリティデータを効率的に正規化 AWS して統合し、セキュリティ関連情報の統合され信頼性の高いリポジトリを作成します。 Security Lake は、Amazon S3 および AWS CloudTrail の管理イベントと CloudTrail データイベントに関連付けられたログを収集できます AWS Lambda。Security Lake で CloudTrail 管理イベントを収集するには、CloudTrail 管理イベントの読み取りと書き込みを収集する CloudTrail マルチリージョン組織の証跡が少なくとも 1 つ必要です。  トレイルのロギングが有効になっている必要があります。マルチリージョン証跡は、複数のリージョンから単一の の単一の S3 バケットにログファイルを配信します AWS アカウント。リージョンが異なる国にある 場合は、データエクスポート要件を検討して、マルチリージョン証跡を有効にできるかどうかを判断します。 AWS Security Hub CSPM は Security Lake でサポートされているネイティブデータソースであるため、Security Hub CSPM の検出結果を Security Lake に追加する必要があります。Security Hub CSPM は、さまざまな AWS のサービス およびサードパーティーの統合から検出結果を生成します。これらの検出結果は、コンプライアンス体制の概要と、 AWS および AWS Partner ソリューションのセキュリティ推奨事項に従っているかどうかを把握するのに役立ちます。 ログやイベントから可視性と実用的なインサイトを得るには、[Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html)、Amazon [ OpenSearch Service、Amazon](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/what-is.html) [Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html)、サードパーティーソリューションなどのツールを使用してデータをクエリできます。Security Lake ログデータへのアクセスを必要とするユーザーは、ログアーカイブアカウントに直接アクセスしないでください。Security Tooling アカウントからのみデータにアクセスする必要があります。または、OpenSearch Service AWS アカウント 、Quick、またはセキュリティ情報およびイベント管理 (SIEM) ツールなどのサードパーティーツールなどの分析ツールを提供する他の場所やオンプレミスの場所を使用することもできます。データへのアクセスを提供するには、管理者はログアーカイブアカウントで [Security Lake サブスクライ](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html)バーを設定し、データへのアクセスを必要とするアカウントを[クエリアクセスサブスクライバー](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-query-access.html)として設定する必要があります。詳細については、このガイドの Security *OU ‒ Security Tooling アカウント*セクションの[「Amazon Security Lake](security-tooling.md#tool-security-lake)」を参照してください。 Security Lake には、サービスへの管理者アクセスの管理に役立つ AWS マネージドポリシーが用意されています。詳細については、[Security Lake ユーザーガイド](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html)を参照してください。ベストプラクティスとして、開発パイプラインを通じて Security Lake の設定を制限し、 AWS コンソールまたは AWS Command Line Interface () を通じて設定の変更を防ぐことをお勧めしますAWS CLI。さらに、Security Lake を管理するために必要なアクセス許可のみを提供するように、厳格な IAM ポリシーとサービスコントロールポリシー (SCPs) を設定する必要があります。これらの S3 バケットへの直接アクセスを検出するように[通知を設定できます](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ways-to-add-notification-config-to-bucket.html)。 **設計上の考慮事項** Security Lake で CloudTrail 管理イベントを有効にすると、Security Lake の料金が発生します。Security Lake での CloudTrail 管理イベントのコレクションには、CloudTrail 管理イベントの読み取りと書き込みを収集する CloudTrail マルチリージョン組織の証跡が必要です。この最初の証跡は無料で利用できます。CloudTrail 管理イベントは通常、CloudTrail イベント全体のごく一部 (約 5%) を占めます。これは、 を使用するか、ログアーカイブアカウントに一元化された CloudTrail ログ AWS Control Tower があるお客様に適用されます。