翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ OU - Security Tooling アカウント

次の図は、 AWS Security Tooling アカウントで設定されているセキュリティサービスを示しています。

Security Tooling アカウントは、セキュリティサービスの運用、 のモニタリング AWS アカウント、セキュリティアラートとレスポンスの自動化に専念しています。セキュリティの目的は以下の通りです。

セキュリティサービスの委任管理者

Security Tooling アカウントは、 全体で管理者/メンバー構造で管理されるセキュリティサービスの管理者アカウントとして機能します AWS アカウント。前述のように、これは AWS Organizations 委任管理者機能を通じて処理されます。現在委任管理者をサポートしている AWS SRA のサービスには、ルートアクセス AWS Config、 AWS Firewall Manager、Amazon GuardDuty、IAM Access Analyzer、Amazon Macie、 AWS Security Hub、 AWS Security Hub CSPM Amazon Detective、 AWS Audit Manager Amazon Inspector AWS CloudTrail、および の IAM 一元管理が含まれます AWS Systems Manager。セキュリティチームがこれらのサービスのセキュリティ機能を管理し、セキュリティ固有のイベントや検出結果をモニタリングします。

AWS IAM アイデンティティセンター は、メンバーアカウントへの委任管理をサポートします。 AWS SRA は、共有サービスアカウントの IAM アイデンティティセンターセクションで後述するように、IAM アイデンティティセンターの委任管理者アカウントとして共有サービスアカウントを使用します。

一元化されたルートアクセス

Security Tooling アカウント は、ルートアクセス機能の IAM 集中管理のための委任管理者アカウントです。 この機能は、メンバーアカウントで認証情報管理と特権ルートアクションを有効にすることで、組織レベルで有効にする必要があります。メンバーアカウントに代わって特権ルートアクションを実行できるようにするには、委任された管理者に明示的にsts:AssumeRootアクセス許可を付与する必要があります。このアクセス許可は、組織管理アカウントまたは委任管理者アカウントでメンバーアカウントの特権ルートアクションが有効になっている場合にのみ使用できます。このアクセス許可により、ユーザーは Security Tooling アカウントから一元的にメンバーアカウントで特権ルートユーザータスクを実行できます。特権セッションを起動したら、誤って設定された S3 バケットポリシーの削除、誤って設定された SQS キューポリシーの削除、メンバーアカウントのルートユーザー認証情報の削除、メンバーアカウントのルートユーザー認証情報の再有効化を行うことができます。これらのアクションは、 コンソール、 AWS Command Line Interface (AWS CLI)、または APIs を使用して実行できます。

AWS CloudTrail

AWS CloudTrail は、 でのアクティビティのガバナンス、コンプライアンス、監査をサポートするサービスです AWS アカウント。CloudTrail を使用すると、 AWS インフラストラクチャ全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングし、保持できます。CloudTrail は と統合されており AWS Organizations、その統合を使用して、組織内のすべての AWS アカウントのすべてのイベントをログに記録する単一の証跡を作成できます。これは、組織の証跡と呼ばれます。組織の証跡を作成および管理できるのは、組織の管理アカウント内または委任管理者アカウントのみです。組織の証跡を作成すると、指定した名前の証跡が AWS 、組織 AWS アカウント に属するすべての に作成されます。証跡は、管理アカウントを含むすべてのアカウントのアクティビティを AWS 組織に記録し、ログを 1 つの S3 バケットに保存します。この S3 バケットは機密性が高いため、このガイドの後半にある中央ログストアセクションとして Amazon S3 で説明されているベストプラクティスに従って保護する必要があります。 AWS 組織内のすべてのアカウントは、証跡のリストに組織の証跡を表示できます。ただし、メンバーにはこの証跡への表示のみのアクセス権 AWS アカウント があります。デフォルトでは、CloudTrail コンソールで組織の証跡を作成すると、その証跡はマルチリージョンの証跡になります。その他のセキュリティのベストプラクティスについては、CloudTrail ドキュメントを参照してください。

SRA では、Security Tooling AWS アカウントは CloudTrail を管理するための委任管理者アカウントです。組織の証跡ログを保存する対応する S3 バケットは、ログアーカイブアカウントに作成されます。これは、CloudTrail ログ権限の管理と使用を分離するためです。S3 バケットを作成または更新して組織の証跡のログファイルを保存する方法については、CloudTrail ドキュメントを参照してください。セキュリティのベストプラクティスとして、組織の証跡aws:SourceArnの条件キーを S3 バケットのリソースポリシー (および KMS キーや SNS トピックなどの他のリソース) に追加します。これにより、S3 バケットは特定の証跡に関連付けられているデータのみを受け入れるようになります。証跡は、ログファイルの整合性検証用のログファイル検証で設定されます。ログファイルとダイジェストファイルは、SSE-KMS を使用して暗号化されます。組織の証跡は CloudWatch Logs のロググループとも統合され、長期保持のためにイベントを送信します。

AWS Security Hub CSPM

AWS Security Hub クラウドセキュリティ体制管理 (AWS Security Hub CSPM) は、以前は と呼ばれていましたが AWS Security Hub、 のセキュリティ体制を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub CSPM は、 AWS 統合サービス、サポートされているサードパーティー製品、およびその他のカスタムセキュリティ製品全体からセキュリティデータを収集します。セキュリティの傾向を継続的にモニタリング・分析し、特に優先度の高いセキュリティ問題を特定するのに役立ちます。取り込まれたソースに加えて、Security Hub CSPM は独自の検出結果を生成します。これは、1 つ以上のセキュリティ標準にマッピングされるセキュリティコントロールによって表されます。これらの標準には、 AWS Foundational Security Best Practices (FSBP)、Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 および v1.4.0、米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5、Payment Card Industry Data Security Standard (PCI DSS)、サービスマネージド標準が含まれます。現在のセキュリティ標準のリストと特定のセキュリティコントロールの詳細については、Security Hub CSPM ドキュメントの「Security Hub CSPM の標準リファレンス」を参照してください。

Security Hub CSPM は と統合 AWS Organizations され、 AWS 組織内のすべての既存および将来のアカウントにおけるセキュリティ体制の管理を簡素化します。委任管理者アカウント (この場合は Security Tooling) の Security Hub CSPM 中央設定機能を使用して、Security Hub CSPM サービス、セキュリティ標準、およびセキュリティコントロールを リージョン全体の組織アカウントと組織単位 (OUs) で設定する方法を指定できます。  これらの設定は、ホームリージョンと呼ばれる 1 つのプライマリリージョンから数ステップで設定できます。中央設定を使用しない場合は、アカウントとリージョンごとに Security Hub CSPM を個別に設定する必要があります。委任管理者は、アカウントと OUs をセルフマネージドとして指定できます。この場合、メンバーは各リージョンで個別に設定を構成できます。また、委任管理者はリージョン間でメンバーアカウントまたは OU を設定できます。組織内のすべてのアカウントと OU を、一元管理型、すべてセルフマネージド型、または両方の組み合わせとして指定できます。これにより、一貫した設定の適用が簡素化され、OU とアカウントごとに変更する柔軟性が提供されます。 

Security Hub CSPM 委任管理者アカウントは、すべてのメンバーアカウントの結果の表示、インサイトの表示、詳細の制御を行うこともできます。さらに、委任管理者アカウント内で集約リージョンを指定して、アカウントとリンクされたリージョン間で検出結果を一元化することもできます。検出結果は、アグリゲータリージョンと他のすべてのリージョンの間で継続的かつ双方向に同期されます。

Security Hub CSPM は、複数の との統合をサポートしています AWS のサービス。Amazon GuardDuty、 AWS Config、Amazon Macie、IAM Access Analyzer、 AWS Firewall Manager、Amazon Inspector、 Amazon Route 53 Resolver DNS Firewall、および AWS Systems Manager Patch Manager は、検出結果を Security Hub CSPM にフィードできます。Security Hub CSPM は、AWS Security Finding 形式 (ASFF) と呼ばれる標準形式を使用して検出結果を処理します。Security Hub CSPM は、統合された製品間で検出結果を関連付けて、最も重要な検出結果を優先します。Security Hub CSPM の検出結果のメタデータを強化して、セキュリティの検出結果のコンテキスト化、優先順位付け、およびアクションの実行を強化できます。このエンリッチメントにより、Security Hub CSPM に取り込まれるすべての検出結果に、リソースタグ、新しい AWS アプリケーションタグ、およびアカウント名情報が追加されます。これにより、自動化ルールの検出結果を微調整し、検出結果とインサイトを検索またはフィルタリングし、アプリケーションごとにセキュリティ体制のステータスを評価することができます。さらに、自動化ルールを使用して検出結果を自動的に更新できます。Security Hub CSPM が検出結果を取り込むと、検出結果の抑制、重要度の変更、検出結果へのメモの追加など、さまざまなルールアクションを適用できます。これらのルールアクションは、結果が関連付けられているリソース ID やアカウント IDs、そのタイトルなど、結果が指定された基準と一致する場合に有効になります。自動化ルールを使用して、ASFF の選択結果フィールドを更新できます。ルールは、新しい検出結果と更新された検出結果の両方に適用されます。

セキュリティイベントの調査中に、Security Hub CSPM から Amazon Detective に移動して GuardDuty の検出結果を調査できます。Security Hub CSPM では、統合をスムーズにするために、Detective (存在する場合) などのサービスの委任管理者アカウントを調整することをお勧めします。たとえば、Detective と Security Hub CSPM の間で管理者アカウントを調整しない場合、検出結果から Detective に移動することはできません。包括的なリストについては、Security Hub CSPM ドキュメントの「Security Hub CSPM と AWS のサービス の統合の概要」を参照してください。

Amazon VPC の Network Access Analyzer 機能で Security Hub CSPM を使用すると、 AWS ネットワーク設定のコンプライアンスを継続的にモニタリングできます。これにより、不要なネットワークアクセスをブロックし、重要なリソースの外部アクセスを防ぐことができます。アーキテクチャと実装の詳細については、ブログ記事 AWS 「Amazon VPC Network Access Analyzer と を使用したネットワークコンプライアンスの継続的な検証 AWS Security Hub CSPM」を参照してください。

Security Hub CSPM は、モニタリング機能に加えて、Amazon EventBridge との統合をサポートし、特定の検出結果の修復を自動化します。結果を受け取ったときに実行するカスタムアクションを定義できます。たとえば、チケット発行システムや自動修復システムに検出結果を送信するなどのカスタムアクションを設定できます。その他の議論と例については、 AWS ブログ記事「 による自動応答と修復 AWS Security Hub CSPM」および「Security Hub CSPM 自動応答と修復の AWS ソリューションをデプロイする方法」を参照してください。

Security Hub CSPM は、サービスにリンクされた AWS Config ルール を使用して、コントロールのほとんどのセキュリティチェックを実行します。これらのコントロールをサポートするには、Security Hub CSPM AWS Config が有効になっている各アカウントで、管理者 (または委任管理者) アカウントとメンバーアカウントを含むすべてのアカウントで を有効にする必要があります。 AWS リージョン

AWS Security Hub

AWS Security Hub は、重要なセキュリティ脅威を優先し、大規模な対応を支援する統合クラウドセキュリティソリューションです。Security Hub は、体制管理 (AWS Security Hub CSPM)、脆弱性管理 (Amazon Inspector)、機密データ (Amazon Macie)、脅威検出 (Amazon GuardDuty) など、複数のソースからのセキュリティシグナルを自動的に関連付けて強化することで、セキュリティ問題をほぼリアルタイムで検出します。これにより、セキュリティチームは自動分析とコンテキストに応じたインサイトを通じて、クラウド環境でアクティブなリスクに優先順位を付けることができます。Security Hub は、攻撃者がエクスポージャ検出結果に関連するリソースにアクセスするために悪用できる潜在的な攻撃経路を視覚的に表現します。これにより、複雑なセキュリティシグナルが実用的なインサイトに変換されるため、セキュリティについて情報に基づいた意思決定を迅速に行うことができます。

Security Hub は戦略的に再設計され、関連するセキュリティサービス構成要素がセキュリティ上の成果を達成できるように簡素化されました。脅威マトリックスのセキュリティ検出結果をさまざまなセキュリティシグナルにほぼリアルタイムで関連付けることで、最も重要なリスクに優先順位を付けることができます。結果は、 AWS リソースに関連する露出を検出するために相関しています。露出は、セキュリティコントロール、設定ミス、またはアクティブな脅威によって悪用される可能性のあるその他の領域のより広範な弱点を表します。例えば、インターネットから到達可能であり、悪用の可能性の高いソフトウェアの脆弱性がある EC2 インスタンスが公開される可能性があります。

Security Hub と Security Hub CSPM は補完的なサービスです。Security Hub CSPM は、セキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らしてクラウド環境を評価するのに役立ちます。Security Hub は、重要なセキュリティ問題の優先順位付けと対応に役立つ統一されたエクスペリエンスを提供します。Security Hub CSPM の検出結果は Security Hub に自動的にルーティングされ、Amazon Inspector などの他のセキュリティサービスの検出結果との相関に基づいて露出レポートを生成します。これにより、環境内の最も重大なリスクを特定できます。 

Security Hub は、 AWS 環境内のリソースの概要をタイプ別および関連する検出結果別にも提供します。露出状況と攻撃シーケンスに応じてリソースに優先順位をつけて表示します。リソースタイプを選択すると、そのリソースタイプに関連付けられているすべてのリソースを確認できます。

最適なエクスペリエンスを得るには、Security Hub と Security Hub CSPM を有効にするとともに、Amazon GuardDuty、Amazon Inspector、Amazon Macie などの他のセキュリティサービスを有効にすることをお勧めします。Security Hub Coverage の検出結果を使用して、これらのサービスと機能が組織のすべてのメンバーアカウントで均一に有効になっているかどうかを可視化できます。

AWS SRA では、Security Tooling アカウントは Security Hub、Security Hub CSPM、およびその他の AWS セキュリティサービスの委任管理者として機能します。Security Tooling アカウント内で、メンバーアカウントに関連付けられているすべてのリソースを表示できます。リンクされた AWS リージョン からホーム内のすべてのリソースを表示することもできます AWS リージョン。

Amazon GuardDuty

Amazon GuardDuty は、悪意のあるアクティビティや不正な動作を継続的にモニタリングして AWS アカウント および ワークロードを保護する脅威検出サービスです。モニタリングと監査の目的で常に適切なログをキャプチャして保存する必要がありますが、GuardDuty は AWS CloudTrail、、Amazon VPC フローログ、および DNS AWS ログから直接データの独立したストリームをプルします。Amazon S3 バケットポリシーを管理したり、ログの収集と保存方法を変更したりする必要はありません。GuardDuty のアクセス許可は、GuardDuty を無効にすることでいつでも取り消すことができるサービスリンクされたロールとして管理されます。これにより、複雑な設定なしでサービスを簡単に利用できるようになり、IAM アクセス許可の変更や S3 バケットポリシーの変更がサービスの運用に影響を与えるリスクを排除します。

GuardDuty は、基本的なデータソースの提供に加えて、セキュリティ検出結果を特定するためのオプション機能を提供します。これには、EKS Protection、RDS Protection、S3 Protection、Malware Protection、Lambda Protection が含まれます。新しいディテクターの場合、これらのオプション機能は、手動で有効にする必要がある EKS Protection を除き、デフォルトで有効になっています。

GuardDuty には、データソース、複数のタイプの AWS リソース、および 内の時間にわたるマルチステージ攻撃を自動的に検出する拡張脅威検出と呼ばれる機能も用意されています AWS アカウント。GuardDuty は、シグナルと呼ばれるこれらのイベントを関連付けて、自身を AWS 環境に対する潜在的な脅威として示すシナリオを特定し、攻撃シーケンスの検出結果を生成します。これには、 AWS 認証情報の悪用に関連する侵害や、.GuardDuty でのデータ侵害の試みに関連する脅威シナリオが含まれます AWS アカウント。GuardDuty は、すべての攻撃シーケンスの検出タイプを重大と見なします。 GuardDuty この機能はデフォルトで有効になっており、追加コストは発生しません。

AWS SRA では、GuardDuty は を通じてすべてのアカウントで有効になっており AWS Organizations、すべての検出結果は GuardDuty 委任管理者アカウント (この場合は Security Tooling アカウント) の適切なセキュリティチームによって表示および実行可能です。GuardDuty のアクティブな検出結果はログアーカイブアカウントの中央 S3 バケットにエクスポートされるため、検出結果は 90 日以上保持できます。検出結果は委任管理者アカウントからエクスポートされ、同じリージョン内の関連付けられたメンバーアカウントからのすべての検出結果も含まれます。S3 バケット内の検出結果は、 AWS KMS カスタマーマネージドキーで暗号化されます。S3 バケットポリシーと KMS キーポリシーは、GuardDuty のみがリソースを使用できるように設定されています。

AWS Security Hub CSPM を有効にすると、GuardDuty の検出結果は Security Hub CSPM と Security Hub に自動的に流れます。Amazon Detective が有効な場合、GuardDuty の結果は Detective ログの取り込み処理に含まれます。GuardDuty と Detective は、クロスサービスユーザーワークフローをサポートしています。GuardDuty は、選択した結果から、その結果を調査するための厳選されたビジュアライゼーションセットを含む Detective ページにリダイレクトするリンクをコンソールから提供します。例えば、GuardDuty を Amazon EventBridge と統合して、新しい GuardDuty の検出結果への応答の自動化など、GuardDuty のベストプラクティスを自動化することもできます。 GuardDuty

AWS Config

AWS Config は、 でサポートされている AWS リソースの設定を評価、監査、評価できるサービスです AWS アカウント。 は AWS リソース設定 AWS Config を継続的にモニタリングおよび記録し、記録された設定を目的の設定と照合して自動的に評価します。また、 AWS Config を他の サービスと統合して、自動監査およびモニタリングパイプラインの負担を軽減することもできます。たとえば、 は 内の個々のシークレットの変更をモニタリング AWS Config できます AWS Secrets Manager。

を使用して AWS リソースの設定を評価できますAWS Config ルール。 は、マネージドルールと呼ばれるカスタマイズ可能な事前定義されたルールのライブラリ AWS Config を提供するか、独自のカスタムルールを記述できます。プロアクティブモード (リソースがデプロイされる前) または検出モード (リソースがデプロイされた後) AWS Config ルール で実行できます。リソースは、設定変更時、定期的、あるいはその両方で評価できます。 

コンフォーマンスパックは、アカウントとリージョン、または の組織全体に単一のエンティティとしてデプロイできる AWS Config ルールと修復アクションのコレクションです AWS Organizations。コンフォーマンスパックは、 AWS Config マネージドルールまたはカスタムルールと修復アクションのリストを含む YAML テンプレートを作成することによって作成されます。 AWS 環境の評価を開始するには、サンプルコンフォーマンスパックテンプレートのいずれかを使用します。

AWS Config は と統合 AWS Security Hub CSPM して、 AWS Config マネージドルール評価とカスタムルール評価の結果を結果として Security Hub CSPM に送信します。

AWS Config ルール は と組み合わせて使用 AWS Systems Manager して、非準拠のリソースを効果的に修復できます。Systems Manager Explorer を使用して AWS アカウント 全体のAWS Configルールのコンプライアンスステータスを収集し AWS リージョン 、Systems Manager Automation ドキュメント (ランブック) を使用して非準拠 AWS Config ルールを解決します。実装の詳細については、ブログ記事「Remediate noncompliant AWS Config rules with AWS Systems Manager Automation runbooks」を参照してください。

AWS Config アグリゲータは、 の複数のアカウント、リージョン、および組織にわたって設定およびコンプライアンスデータを収集します AWS Organizations。アグリゲータダッシュボードには、集約されたリソースの設定データが表示されます。インベントリとコンプライアンスダッシュボードは、組織全体、組織全体 AWS アカウント、 AWS リージョンまたは組織内の AWS AWS リソース設定とコンプライアンスステータスに関する重要かつ最新の情報を提供します。これにより、 AWS Config 高度なクエリを記述することなく、 AWS リソースインベントリを視覚化して評価できます。リソース別のコンプライアンスの概要、非準拠リソースを持つ上位 10 のアカウント、タイプ別の EC2 インスタンスの実行と停止の比較、ボリュームタイプとサイズ別の EBS ボリュームなど、重要なインサイトを得ることができます。

AWS Control Tower を使用して AWS 組織を管理する場合、一連の AWS Config ルールが検出ガードレールとしてデプロイされます (必須、強く推奨、または選択的に分類されます）。これらのガードレールは、リソースを管理し、 AWS 組織内のアカウント全体のコンプライアンスをモニタリングするのに役立ちます。これらの AWS Config ルールは、 の値を持つaws-control-towerタグを自動的に使用しますmanaged-by-control-tower。

AWS Config は、 AWS 保護するリソース AWS リージョン を含む組織内のメンバーアカウントごとに有効にする必要があります。 AWS 組織内のすべてのアカウントで AWS Config ルールを一元管理 (作成、更新、削除など) できます。 AWS Config 委任管理者アカウントから、すべてのアカウントに共通の AWS Config ルールセットをデプロイし、 AWS Config ルールを作成すべきではないアカウントを指定できます。 AWS Config 委任管理者アカウントは、すべてのメンバーアカウントからリソース設定とコンプライアンスデータを集約して、単一のビューを提供することもできます。Security Hub CSPM が有効で APIs 、少なくとも 1 つの AWS Config マネージドルールまたはカスタム AWS Config ルールが存在する場合 AWS Security Hub CSPM、 AWS AWS Config は検出結果を送信するようにネイティブに統合されています。

AWS SRA では、 AWS Config 委任管理者アカウントは Security Tooling アカウントです。 AWS Config 配信チャネルは、ログアーカイブアカウントの一元化された S3 バケットにリソース設定スナップショットを配信するように設定されています。Log Archive アカウントは中央ログリポジトリストアであるため、リソース設定の保存に使用されます。

Amazon Security Lake

Amazon Security Lake は、フルマネージド型のセキュリティデータレイクサービスです。Security Lake を使用して、 AWS 環境、Software as a Service (SaaS) プロバイダー、オンプレミス、およびサードパーティーソースのセキュリティデータを自動的に一元化できます。Security Lake は、セキュリティデータに対する分析ツールの使用を簡素化する正規化されたデータソースを構築するため、組織全体のセキュリティ体制をより完全に理解できます。データレイクは、Amazon Simple Storage Service (Amazon S3) バケットに支えられており、データの所有権はお客様が保持します。Security Lake は AWS のサービス、 AWS CloudTrail Amazon VPC、Amazon Route 53、Amazon S3、Amazon EKS 監査ログ AWS Lambda、 AWS Security Hub CSPM 検出結果、ログなどの AWS WAF ログを自動的に収集します。

AWS SRA では、Security Lake の委任管理者アカウントとして Log Archive アカウントを使用することをお勧めします。委任管理者アカウントの設定の詳細については、「Security OU ‒ Log Archive account」セクションの「Amazon Security Lake」を参照してください。 Security Lake データにアクセスする、またはカスタム抽出、変換、ロード (ETL) 関数を使用して Security Lake バケットに非ネイティブログを書き込む機能を必要とするセキュリティチームは、Security Tooling アカウント内で動作する必要があります。

Security Lake は、さまざまなクラウドプロバイダーからのログ、サードパーティーソリューションからのログ、またはその他のカスタムログを収集できます。Security Tooling アカウントを使用して ETL 関数を実行し、ログを Open Cybersecurity Schema Framework (OCSF) 形式に変換し、Apache Parquet 形式でファイルを出力することをお勧めします。Security Lake は、Security Tooling アカウントと、Lambda 関数またはクローラによってバックアップされたカスタムソースに対して、Security Lake の S3 AWS Glue バケットにデータを書き込むための適切なアクセス許可を持つクロスアカウントロールを作成します。

Security Lake 管理者は、Security Tooling アカウントを使用し、Security Lake がサブスクライバーとして収集するログへのアクセスを必要とするセキュリティチームを設定する必要があります。Security Lake は、次の 2 種類のサブスクライバーアクセスをサポートしています。

サブスクライバーの作成の詳細については、Security Lake ドキュメントの「サブスクライバー管理」を参照してください。 

カスタムソースを取り込むためのベストプラクティスについては、Security Lake ドキュメントの「カスタムソースからデータを収集する」を参照してください。

Amazon Quick Sight、Amazon OpenSearch Service、Amazon SageMaker を使用して、Security Lake に保存するセキュリティデータに対する分析を設定できます。

Amazon Macie

Amazon Macie は、フルマネージド型のデータセキュリティおよびデータプライバシーサービスであり、機械学習とパターンマッチングを使用して機密データを検出し、保護します AWS。ワークロードが処理しているデータのタイプと分類を特定して、適切なコントロールが確実に適用されるようにする必要があります。Macie を使用して、機密データの検出とレポートを自動化するには、機密データの自動検出を実行する方法と、機密データ検出ジョブを作成して実行する方法の 2 つの方法があります。機密データの自動検出により、Macie は S3 バケットインベントリを毎日評価し、サンプリング手法を使用してバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。機密データ検出ジョブは、より深く、よりターゲットを絞った分析を提供します。このオプションでは、分析する S3 バケット、サンプリング深度、S3 オブジェクトのプロパティから派生するカスタム基準など、分析の幅と深さを定義します。Macie がバケットのセキュリティまたはプライバシーに関する潜在的な問題を検出すると、ユーザー用に ポリシーの調査結果を作成します。自動データ検出は、すべての新規 Macie のお客様に対してデフォルトで有効になっており、既存の Macie のお客様はワンクリックで有効にできます。

Macie は、 を通じてすべてのアカウントで有効になっています AWS Organizations。委任された管理者アカウント (この場合は Security Tooling アカウント) で適切なアクセス許可を持つプリンシパルは、どのアカウントでも Macie を有効にしたり停止にしたり、メンバーアカウントが所有するバケットに対して機密データ検出ジョブを作成したり、すべてのメンバーアカウントのすべてのポリシー結果を表示したりすることができます。機密データの結果は、機密結果ジョブを作成したアカウントでのみ表示できます。詳細については、Macie ドキュメントの「組織としての複数の Macie アカウントの管理」を参照してください。

Macie の検出結果は、レビューと分析 AWS Security Hub CSPM のために に流れます。また、Macie は Amazon EventBridge と統合して、アラート、セキュリティ情報およびイベント管理 (SIEM) システムへのフィード、自動修復などの結果への自動応答を促進します。

IAM Access Analyzer

AWS クラウド 導入ジャーニーを加速し、イノベーションを続けるには、きめ細かなアクセス (アクセス許可) を厳密に制御し、アクセスの拡散を防ぎ、アクセス許可を効果的に使用することが重要です。過剰で未使用のアクセスはセキュリティ上の課題となり、企業が最小特権の原則を強制することが困難になります。この原則は、セキュリティ要件と運用要件およびアプリケーション開発要件のバランスを取るための IAM アクセス許可を継続的に適切なサイズにすることを含む、重要なセキュリティアーキテクチャの柱です。この取り組みには、中央セキュリティチーム、Cloud Center of Excellence (CCoE) チーム、分散開発チームなど、複数のステークホルダーペルソナが含まれます。

AWS Identity and Access Management Access Analyzer には、エンタープライズセキュリティ標準を満たすために未使用のアクセスを削除することで、きめ細かなアクセス許可を効率的に設定し、意図したアクセス許可を検証し、アクセス許可を絞り込むためのツールが用意されています。これにより、ダッシュボードと を通じて、AWS リソースへの外部アクセスと内部アクセス、および未使用のアクセスの検出結果を可視化できますAWS Security Hub CSPM。さらに、イベントベースのカスタム通知および修復ワークフローの Amazon EventBridge もサポートしています。

IAM Access Analyzer の外部アクセスアナライザーの検出結果は、Amazon S3 バケットや IAM ロールなど、外部エンティティと共有されている AWS 組織やアカウント内のリソースを識別するのに役立ちます。選択した AWS 組織またはアカウントは、信頼ゾーンと呼ばれます。アナライザーは自動推論を使用して、信頼ゾーン内のサポートされているすべてのリソースを分析し、信頼ゾーン外からリソースにアクセスできるプリンシパルの結果を生成します。これらの検出結果は、外部エンティティと共有されているリソースを特定し、リソース許可をデプロイする前に、ポリシーがリソースへのパブリックアクセスとクロスアカウントアクセスにどのように影響するかをプレビューするのに役立ちます。これは追加料金なしで利用できます。

同様に、IAM Access Analyzer の内部アクセスアナライザーの検出機能は、 AWS 組織内および組織またはアカウント内のプリンシパルと共有されているアカウント内のリソースを特定するのに役立ちます。この分析は、組織内の意図したプリンシパルのみが指定されたリソースにアクセスできるようにすることで、最小特権の原則をサポートします。これは有料機能であり、検査するリソースの明示的な設定が必要です。この機能は、設計上内部的にもロックダウンする必要がある特定の機密リソースを慎重にモニタリングするために使用します。

IAM Access Analyzer の検出結果は、組織やアカウントで AWS 付与された未使用のアクセスを特定するのにも役立ちます。 

IAM Access Analyzer から生成された検出結果を使用して、組織のポリシーとセキュリティ標準に基づいて、意図しないアクセスや未使用のアクセスを可視化し、修復できます。修復後、これらの検出結果は次にアナライザーが実行されるときに解決済みとしてマークされます。検出結果が意図的な場合は、IAM Access Analyzer でアーカイブ済みとしてマークし、セキュリティリスクが大きい他の検出結果に優先順位を付けることができます。さらに、アップアーカイブルールを設定して、特定の検出結果を自動的にアーカイブできます。例えば、定期的にアクセスを許可する特定の Amazon S3 バケットに関する検出結果を自動的にアーカイブするためのアーカイブルールを作成できます。 

ビルダーは、IAM Access Analyzer を使用して、開発およびデプロイ (CI/CD) プロセスの早い段階で自動化された IAM ポリシーチェックを実行し、企業のセキュリティ標準に準拠できます。IAM Access Analyzer のカスタムポリシーチェックとポリシーレビューを と統合 AWS CloudFormation して、開発チームの CI/CD パイプラインの一部としてポリシーレビューを自動化できます。これには、以下が含まれます。 

セキュリティチームやその他の IAM ポリシー作成者は、IAM Access Analyzer を使用して、IAM ポリシーの文法とセキュリティ標準に準拠したポリシーを作成できます。適切なサイズのポリシーを手動で作成すると、エラーが発生しやすく、時間がかかる場合があります。IAM Access Analyzer ポリシー生成機能は、プリンシパルのアクセスアクティビティに基づく IAM ポリシーの作成を支援します。IAM Access Analyzer は、サポートされているサービスの AWS CloudTrail ログを確認し、指定された日付範囲でプリンシパルによって使用されたアクセス許可を含むポリシーテンプレートを生成します。その後、このテンプレートを使用して、必要なアクセス許可のみを付与するきめ細かなアクセス許可を持つポリシーを作成できます。

IAM Access Analyzer は、 の委任管理者機能を通じて Security Tooling アカウントにデプロイされます AWS Organizations。委任された管理者には、 AWS 組織を信頼ゾーンとして持つアナライザーを作成および管理するためのアクセス許可があります。

AWS Firewall Manager

AWS Firewall Manager は、複数のアカウントとリソースにわたる AWS WAF、、Amazon VPC セキュリティグループ AWS Shield Advanced、 Amazon Route 53 Resolver DNS Firewall の管理およびメンテナンスタスクを簡素化することで AWS Network Firewall、ネットワークを保護するのに役立ちます。Firewall Manager では、 AWS WAF ファイアウォールルール、Shield Advanced 保護、Amazon VPC セキュリティグループ、Network Firewall ファイアウォール、DNS Firewall ルールグループの関連付けを 1 回だけセットアップします。ルールと保護が既存のアカウントとリソースに (追加する新しいリソースにも) 自動的に適用されます。

Firewall Manager は、少数の特定のアカウントやリソースではなく AWS 組織全体を保護する場合や、保護する新しいリソースを頻繁に追加する場合に特に便利です。Firewall Manager は、セキュリティポリシーを使用して、デプロイする必要がある関連するルール、保護、アクション、および含めるか除外するアカウントとリソース (タグで示される) を含む、一連の設定を定義できます。細分化された柔軟な設定を作成しながら、多数のアカウントと VPC に制御をスケールアウトさせることが可能です。これらのポリシーは、新しいアカウントとリソースが作成された場合でも、設定したルールを自動的かつ一貫して適用します。Firewall Manager は を通じてすべてのアカウントで有効になり AWS Organizations、設定と管理は Firewall Manager の委任管理者アカウント (この場合は Security Tooling アカウント) の適切なセキュリティチームによって実行されます。

保護するリソース AWS リージョン を含む各 AWS Config に対して を有効にする必要があります。すべてのリソース AWS Config に対して を有効にしない場合は、使用する Firewall Manager ポリシーのタイプに関連付けられているリソースに対して有効にする必要があります。 AWS Security Hub CSPM と Firewall Manager の両方を使用すると、Firewall Manager は自動的に検出結果を Security Hub CSPM に送信します。Firewall Manager は、コンプライアンス違反のリソースと検出した攻撃の検出結果を作成し、その検出結果を Security Hub CSPM に送信します。Firewall Manager ポリシーを設定すると AWS WAF、すべての対象アカウントのウェブアクセスコントロールリスト (ウェブ ACLs) のログ記録を一元的に有効にし、ログを 1 つのアカウントで一元化できます。

Firewall Manager では、組織のファイアウォールリソースを管理できる管理者を 1 人または複数持つことができます。複数の管理者を割り当てる場合、制限的な管理範囲条件を適用して、各管理者が管理できるリソース (アカウント、OUs、リージョン、ポリシータイプ) を定義できます。これにより、組織内のさまざまな管理者に役割を割り当てる上での柔軟性が提供され、最小権限の原則を維持しやすくなります。SRA は、Security Tooling AWS アカウントに委任された完全な管理スコープを持つ 1 人の管理者を使用します。

Amazon EventBridge

Amazon EventBridge は、アプリケーションをさまざまなイベントソースのデータに簡単に接続できるようにするサーバーレスイベントバスサービスです。セキュリティオートメーションによく使用されます。お客様は、データの送信先を判断するためのルーティングルールを設定して、すべてのデータソースにリアルタイムで反応するアプリケーションアーキテクチャを構築できます。各アカウントでデフォルトのイベントバスを使用するだけでなく、カスタムアプリケーションからイベントを受信するためにカスタムイベントバスを作成することができます。Security Tooling アカウントで、 AWS 組織内の他のアカウントからセキュリティ固有のイベントを受信できるイベントバスを作成できます。例えば、、 AWS Config ルール Amazon GuardDuty、および EventBridge をリンクすることで、セキュリティデータのルーティング、アラートの生成、問題解決のためのアクションの管理のための柔軟 AWS Security Hub CSPM で自動化されたパイプラインを作成します。

Amazon Detective

Amazon Detective は、セキュリティアナリストのセキュリティ検出結果や疑わしいアクティビティの根本原因を簡単に分析、調査、すばやく特定できるようにすることで、応答性の高いセキュリティコントロール戦略をサポートします。Detective は、ログイン試行、API コール、ネットワークトラフィックなどの時間ベースのイベントを AWS CloudTrail ログや Amazon VPC フローログから自動的に抽出します。Detective は、CloudTrail ログと Amazon VPC フローログの独立したストリームを使用して、これらのイベントを消費します。Detective を使用して、最大 1 年間の履歴イベントデータにアクセスできます。Detective は、機械学習とビジュアライゼーションにより、リソースの動作とリソース間のインタラクションを時系列で統合したインタラクティブなビューを作成します。これは ビヘイビアグラフ と呼ばれます。ビヘイビアグラフを詳しく確認して、失敗したログオン試行や疑わしい API コールなどのさまざまなアクションを調べることができます。

Detective は Amazon Security Lake と統合され、セキュリティアナリストが Security Lake に保存されているログをクエリおよび取得できるようにします。この統合を使用して、Detective でセキュリティ調査を実行中に Security Lake に保存されている CloudTrail ログと Amazon VPC フローログから追加情報を取得できます。

Detective は、Amazon GuardDuty GuardDuty によって検出された検出結果も取り込みます。アカウントで Detective を有効にすると、そのアカウントがビヘイビアグラフの管理者アカウントになります。Detective を有効にする前に、アカウントが GuardDuty に登録されてから 48 時間以上が経過していることを確認してください。この要件を満たしていない場合、DetectiveDetective を有効にすることはできません。

Detective のその他のオプションのデータソースには、Amazon EKS 監査ログと が含まれます AWS Security Hub CSPM。Amazon EKS 監査ログデータソースは、Amazon EKS クラスター、Kubernetes ポッド、コンテナイメージ、Kubernetes サブジェクトのエンティティタイプに関して提供される情報を強化します。Security Hub データソースはAWS セキュリティ検出結果の一部であり、製品間の検出結果を Security Hub に関連付け、Detective に取り込みます。

Detective は、単一のセキュリティ侵害イベントに関連する複数の検出結果を検出結果グループに自動的にグループ化します。脅威アクターは通常、時間やリソースにまたがる複数のセキュリティ検出結果につながる一連のアクションを実行します。したがって、検出結果グループは、複数のエンティティと検出結果を含む調査の開始点である必要があります。また、Detective は、検出結果グループを自動的に分析する生成 AI を使用して検出結果グループの概要を提供し、セキュリティ調査の迅速化に役立つ自然言語でのインサイトを提供します。

Detective は と統合されます AWS Organizations。組織管理アカウントは、メンバーアカウントを Detective 管理者アカウントとして委任します。SRA では、これは Security Tooling AWS アカウントです。Detective 管理者アカウントは、組織内のすべての現在のメンバーアカウントを Detective メンバーアカウントとして自動的に有効にし、 AWS 組織に追加された新しいメンバーアカウントを追加することもできます。Detective 管理者アカウントは、現在 AWS 組織には存在しないが、同じリージョンにあるメンバーアカウントを招待して、プライマリアカウントの動作グラフにデータを提供することもできます。メンバーアカウントが招待を承諾して有効になると、Detective は、メンバーアカウントのデータを取り込み、その動作グラフに抽出し始めます。

AWS Audit Manager

AWS Audit Manager は、 AWS 使用状況を継続的に監査し、監査の管理方法と規制や業界標準への準拠を簡素化するのに役立ちます。これにより、証拠を手動で収集、レビュー、管理することから、証拠収集を自動化するソリューションに移行し、監査証拠のソースを追跡する簡単な方法を提供し、チームワークのコラボレーションを可能にし、証拠のセキュリティと整合性を管理するのに役立ちます。監査の時期において、Audit Manager は、コントロールのステークホルダーのレビューを管理するのに役立ちます。

Audit Manager を使用すると、Center for Internet Security (CIS) ベンチマーク、CIS AWS Foundations Benchmark、System and Organization Controls 2 (SOC 2)、Payment Card Industry Data Security Standard (PCI DSS) などの構築済みのフレームワークに対して監査を行うことができます。また、内部監査の特定の要件に基づいて、標準コントロールまたはカスタムコントロールを使用して独自のフレームワークを作成することもできます。

Audit Manager は 4 種類の証拠を収集します。自動化される証拠には、 AWS Config と からのコンプライアンスチェックの証拠 AWS Security Hub CSPM、 からの管理イベントの証拠 AWS CloudTrail、 AWS service-to-service API コールの設定の証拠の 3 種類があります。自動化できない証拠については、Audit Manager では手動証拠をアップロードできます。

デフォルトでは、Audit Manager のデータは AWS マネージドキーを使用して暗号化されます。 AWS SRA は、暗号化にカスタマーマネージドキーを使用して、論理アクセスをより細かく制御します。また、Audit Manager が評価レポートを発行 AWS リージョン する で S3 バケットを設定する必要があります。このバケットはカスタマーマネージドキーで暗号化し、Audit Manager のみがレポートを発行できるようにバケットポリシーを設定する必要があります。 

Audit Manager の評価は、 AWS 組織内の複数のアカウントで実行できます。Audit Manager は証拠を収集し、 の委任管理者アカウントに統合します AWS Organizations。この監査機能は、主にコンプライアンスチームと内部監査チームによって使用され、 への読み取りアクセスのみが必要です AWS アカウント。

AWS Artifact

AWS Artifact は Security Tooling アカウント内でホストされ、コンプライアンスアーティファクト管理機能を AWS 組織管理アカウントから分離します。絶対に必要な場合を除き、デプロイに AWS 組織管理アカウントを使用しないことが推奨されるため、この職務の分離は重要です。代わりに、メンバーアカウントにデプロイを渡します。監査アーティファクト管理はメンバーアカウントから実行でき、 関数はセキュリティおよびコンプライアンスチームと密接に連携するため、Security Tooling アカウントは管理者アカウントとして指定されます AWS Artifact。 AWS Artifact レポートを使用して、 AWS ISO 認定、Payment Card Industry (PCI)、System and Organization Controls (SOC) レポートなどの AWS セキュリティおよびコンプライアンスドキュメントをダウンロードできます。

AWS Artifact は、委任管理機能をサポートしていません。代わりに、この機能を監査チームとコンプライアンスチームに関連する Security Tooling アカウントの IAM ロールのみに制限して、必要に応じてそれらのレポートをダウンロード、レビュー、外部監査人に提供できます。さらに、IAM ポリシーを通じて特定の IAM ロールが特定の AWS Artifact レポートのみにアクセスできるように制限することもできます。IAM ポリシーのサンプルについては、 AWS Artifact ドキュメントを参照してください。

AWS KMS

AWS Key Management Service (AWS KMS) は、暗号化キーを作成および管理し、アプリケーションのさまざまな AWS のサービス および での使用を制御するのに役立ちます。 AWS KMS は、ハードウェアセキュリティモジュールを使用して暗号化キーを保護する安全で回復力のあるサービスです。キーの保存、ローテーション、アクセス制御など、キーマテリアルの業界標準ライフサイクルプロセスに従います。 AWS KMS は、暗号化キーと署名キーを使用してデータを保護するのに役立ち、AWS Encryption SDK によるサーバー側の暗号化とクライアント側の暗号化の両方に使用できます。は、保護と柔軟性のために、カスタマーマネージドキー、 AWS マネージドキー、 AWS 所有キーの 3 種類のキー AWS KMS をサポートしています。カスタマーマネージドキーは、 AWS アカウント ユーザーが作成、所有、管理する の AWS KMS キーです。 AWS マネージドキーは、ユーザーに代わって と AWS のサービス 統合された によって作成、管理、使用される AWS KMS アカウントのキーです AWS KMS。 AWS 所有キーは、 が複数の で使用できるように AWS のサービス 所有、管理する AWS KMS キーのコレクションです AWS アカウント。 AWS KMS キーの使用の詳細については、AWS KMS ドキュメントとAWS KMS 暗号化の詳細を参照してください。

1 つのデプロイオプションは、 AWS KMS キーと IAM ポリシーの組み合わせを使用して、アプリケーションリソースによってアプリケーションアカウントのキーを使用する機能を委任しながら、キー管理の責任を 1 つのアカウントに一元化することです。このアプローチは安全かつ簡単に管理できますが、スロットリング制限、アカウントサービス制限、セキュリティチームが運用上のキー管理タスクに溜まっているため AWS KMS 、ハードルが発生する可能性があります。もう 1 つのデプロイオプションは、複数のアカウントへの配置 AWS KMS を許可する分散モデルを用意し、特定のアカウントのインフラストラクチャとワークロードを担当するユーザーに独自のキーの管理を許可することです。このモデルにより、ワークロードチームは暗号化キーの使用に対する制御、柔軟性、俊敏性が向上します。また、API の制限を回避し、影響範囲を 1 AWS アカウント つのみに制限し、レポート、監査、その他のコンプライアンス関連のタスクを簡素化するのに役立ちます。分散モデルでは、分散キーが同じ方法で管理され、確立されたベストプラクティスとポリシーに従ってキーの使用 AWS KMS が監査されるように、ガードレールをデプロイして適用することが重要です。詳細については、ホワイトペーパーAWS Key Management Service 「ベストプラクティス」を参照してください。 AWS SRA では、キーが使用されるアカウント内にローカルに存在する分散 AWS KMS キー管理モデルを推奨しています。すべての暗号化関数に対して 1 つのアカウントで 1 つのキー を使用しないことをお勧めします。キーは、関数とデータ保護の要件に基づいて作成し、最小特権の原則を適用できます。場合によっては、暗号化アクセス許可は復号アクセス許可とは別に保持され、管理者はライフサイクル関数を管理しますが、管理するキーを使用してデータを暗号化または復号することはできません。

Security Tooling アカウント AWS KMS では、組織が管理する AWS CloudTrail AWS 組織の証跡など、一元化されたセキュリティサービスの暗号化を管理するために使用されます。

AWS Private CA

AWS Private Certificate Authority (AWS Private CA) は、EC2 インスタンス、コンテナ、IoT デバイス、オンプレミスリソースのプライベートエンドエンティティ TLS 証明書のライフサイクルを安全に管理するのに役立つマネージドプライベート CA サービスです。これにより、実行中のアプリケーションへの暗号化された TLS 通信が可能になります。を使用すると AWS Private CA、独自の CA 階層 (ルート CA、下位 CAs、エンドエンティティ証明書) を作成し、証明書を発行して内部ユーザー、コンピュータ、アプリケーション、サービス、サーバー、およびその他のデバイスを認証し、コンピュータコードに署名できます。プライベート CA によって発行された証明書は、インターネットではなく AWS 組織内でのみ信頼されます。

パブリックキーインフラストラクチャ (PKI) またはセキュリティチームは、すべての PKI インフラストラクチャの管理を担当できます。これには、プライベート CA の管理と作成が含まれます。ただし、ワークロードチームが証明書要件をセルフサービスできるようにするプロビジョニングが必要です。SRA は、ルート CA AWS が Security Tooling アカウント内でホストされている一元的な CA 階層を示しています。これにより、ルート CA は PKI 全体の基盤であるため、セキュリティチームは厳格なセキュリティコントロールを適用できます。ただし、プライベート CA からのプライベート証明書の作成は、 AWS Resource Access Manager (AWS RAM) を使用して CA をアプリケーションアカウントと共有することで、アプリケーション開発チームに委任されます。 は、クロスアカウント共有に必要なアクセス許可 AWS RAM を管理します。これにより、すべてのアカウントでプライベート CA が不要になり、よりコスト効率の高いデプロイ方法が提供されます。ワークフローと実装の詳細については、ブログ記事「 AWS RAM を使用して AWS Private CA クロスアカウントを共有する方法」を参照してください。

Amazon Inspector

Amazon Inspector は、Amazon EC2 インスタンス、Amazon Elastic Container Registry (Amazon ECR) のコンテナイメージ、 AWS Lambda 関数、およびソースコードマネージャー内のコードリポジトリを自動的に検出してスキャンし、ソフトウェアの既知の脆弱性と意図しないネットワークへの露出を検出する自動脆弱性管理サービスです。

Amazon Inspector は、リソースを変更するたびにリソースを自動的にスキャンすることで、リソースのライフサイクル全体を通じて環境を継続的に評価します。リソースの再スキャンを開始するイベントには、EC2 インスタンスへの新しいパッケージのインストール、パッチのインストール、リソースに影響を与える新しい一般的な脆弱性と露出 (CVE) レポートの発行が含まれます。Amazon Inspector は、EC2 インスタンスのオペレーティングシステムの Center of Internet Security (CIS) Benchmark 評価をサポートしています。

Amazon Inspector は、コンテナイメージ評価のために Jenkins や TeamCity などの開発者ツールと統合されています。継続的インテグレーションおよび継続的デリバリー (CI/CD) ツール内のソフトウェアの脆弱性についてコンテナイメージを評価し、ソフトウェア開発ライフサイクルの以前の時点にセキュリティをプッシュできます。評価結果は CI/CD ツールのダッシュボードで利用できるため、ブロックされたビルドやコンテナレジストリへのイメージプッシュなどの重要なセキュリティ問題に応じて自動アクションを実行できます。がアクティブな場合は AWS アカウント、CI/CD ツールマーケットプレイスから Amazon Inspector プラグインをインストールし、Amazon Inspector サービスをアクティブ化することなく Amazon Inspector スキャンをビルドパイプラインに追加できます。この機能は、オンプレミス AWS、ハイブリッドクラウドなど、どこでもホストされる CI/CD ツールで動作するため、すべての開発パイプラインで 1 つのソリューションを一貫して使用できます。Amazon Inspector がアクティブ化されると、すべての EC2 インスタンス、Amazon ECR および CI/CD ツールのコンテナイメージ、Lambda 関数を大規模に自動的に検出し、既知の脆弱性を継続的にモニタリングします。

Amazon Inspector のネットワーク到達可能性の検出結果は、インターネットゲートウェイ、VPC ピアリング接続、仮想ゲートウェイ経由の仮想プライベートネットワーク (VPNs) などの VPC エッジとの間の EC2 インスタンスのアクセシビリティを評価します。これらのルールは、 AWS ネットワークのモニタリングを自動化し、管理ミスのセキュリティグループ、アクセスコントロールリスト (ACLs)、インターネットゲートウェイなどを通じて EC2 インスタンスへのネットワークアクセスが誤って設定される可能性のある場所を特定するのに役立ちます。さらなる詳細については、Amazon Inspector documentation を参照してください。

Amazon Inspector が脆弱性またはオープンネットワークパスを特定すると、調査できる検出結果が生成されます。検出結果には、リスクスコア、影響を受けるリソース、修復推奨事項など、脆弱性に関する包括的な詳細が含まれます。リスクスコアは環境に合わせて特別に調整され、up-to-date CVE 情報を、ネットワークアクセシビリティやエクスプロイト可能性情報などの時間的および環境的要因と関連付けて、コンテキストに応じた検出結果を提供することで計算されます。

Amazon Inspector Code Security は、ファーストパーティアプリケーションソースコード、サードパーティーアプリケーションの依存関係、Infrastructure as Code (IaC) の脆弱性をスキャンします。Code Security をアクティブ化した後、スキャンする頻度、スキャンタイプ、リポジトリを決定するためのスキャン設定を作成してコードリポジトリに適用できます。Code Security は、静的アプリケーションセキュリティテスト (SAST)、ソフトウェアコンポジション分析 (SCA)、IaC スキャンをサポートしています。頻度を設定するには、オンデマンド、コード変更時、または定期的にスキャンを定義できます。コードスキャンでは、コードスニペットをキャプチャして検出された脆弱性をハイライトします。コードスニペットは KMS キーで暗号化されて保存されます。組織の委任管理者は、メンバーアカウントに属するコードスニペットを表示できません。ソースコードマネージャー (SCMs) を Code Security と統合すると、Amazon Inspector コンソールにすべてのコードリポジトリがプロジェクトとして一覧表示されます。Code Security は、各リポジトリのデフォルトブランチのみをモニタリングします。Amazon Inspector は、開発者が作業する場所で特定のコード修正の推奨事項を直接提供することで、セキュリティ修復を合理化します。SCM との双方向統合により、重要な検出結果と高い検出結果に対するプルリクエスト (PRs) とマージリクエスト (MRs) 内のコメントとして修正が自動的に提案され、ワークフローを中断することなく対処すべき最も重要な脆弱性をデベロッパーに警告します。 

脆弱性をスキャンするには、 AWS Systems Manager エージェント (SSMAgent) AWS Systems Managerを使用して EC2 インスタンスを管理する必要があります。 Amazon ECR または Lambda 関数の EC2 インスタンスのネットワーク到達可能性やコンテナイメージの脆弱性スキャンにエージェントは必要ありません。

Amazon Inspector は と統合 AWS Organizations されており、委任管理をサポートしています。SRA AWS では、Security Tooling アカウントが Amazon Inspector の委任管理者アカウントになります。Amazon Inspector の委任管理者アカウントは、 AWS 組織のメンバーの検出結果データと特定の設定を管理できます。これには、すべてのメンバーアカウントの集計結果の詳細の表示、メンバーアカウントのスキャンの有効化または無効化、 AWS 組織内のスキャンされたリソースの確認が含まれます。

AWS Security Incident Response

AWS Security Incident Response は、 AWS 環境のセキュリティインシデントに対する準備と対応に役立つサービスです。検出結果をトリアージし、 はセキュリティイベントをエスカレートし、 と は、即時対応が必要なケースを管理します。さらに、 これにより、カスタマーインシデント対応チーム (CIRT) にアクセスできます AWS 。 は、影響を受けるリソースを調査します。 AWS Security Incident Response は、 ドキュメント (SSM ドキュメント) を通じて AWS Systems Manager 自動応答および修復機能も提供します。 セキュリティチームが対応できるように、 から復旧します。 セキュリティインシデントは、 AWS Security Incident Response Amazon GuardDuty および とより効率的に統合 AWS Security Hub CSPMされ、セキュリティ検出結果を受け取り、自動応答を調整します。

AWS SRA では、 AWS Security Incident Response は委任管理者アカウントとして Security Tooling アカウントにデプロイされます。Security Tooling アカウントは、セキュリティサービスを運用し、セキュリティアラートとレスポンスを自動化するアカウントの目的と一致するため、選択されます。Security Tooling アカウントは、Security Hub CSPM と GuardDuty の委任管理者アカウントとしても機能します。これにより、ワークフロー管理を簡素化 AWS Security Incident Responseできます。 AWS Security Incident Response は と連携するように設定されているため AWS Organizations、Security Tooling アカウントから組織のアカウント全体のインシデント対応を管理できます。

AWS Security Incident Response は、インシデント対応ライフサイクルの次のフェーズを実装するのに役立ちます。

AWS Security Incident Response を使用してセルフマネージドケースを作成することもできます。 AWS Security Incident Response は、アカウントまたはリソースに影響を与える可能性のある何かを認識したり、対処したりする必要がある場合に、アウトバウンド通知またはケースを作成できます。この機能は、サブスクリプションの一部としてプロアクティブレスポンスとアラートのトリアージワークフローを有効にする場合にのみ使用できます。

すべての 内に共通のセキュリティサービスをデプロイする AWS アカウント

このリファレンスの前半の「組織全体にセキュリティサービス AWS を適用する」セクションでは、 を保護するセキュリティサービスが強調表示され AWS アカウント、これらのサービスの多くは 内で設定および管理できることに注意してください AWS Organizations。これらのサービスの一部はすべてのアカウントにデプロイする必要があり、SRA AWS に表示されます。これにより、一貫したガードレールの設定が有効になり、 AWS 組織全体の集中的なモニタリング、管理、ガバナンスが可能になります。

Security Hub CSPM、GuardDuty AWS Config、IAM Access Analyzer、および CloudTrail 組織の証跡は、すべてのアカウントに表示されます。最初の 3 つは、「管理アカウント、信頼されたアクセス、委任された管理者」セクションで前述した委任管理者機能をサポートしています。CloudTrail は現在、別のアグリゲーションメカニズムを使用しています。

AWS SRA GitHub コードリポジトリは、 AWS 組織管理アカウントを含むすべてのアカウントで Security Hub CSPM、GuardDuty AWS Config AWS Firewall Manager、および CloudTrail 組織の証跡を有効にするサンプル実装を提供します。