翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 成熟: プロセス、ツール、リスクの調整と測定
<a name="mature"></a>

クラウドセキュリティモデルの成熟段階では、セキュリティチームを AWS クラウド導入フレームワーク (AWS CAF) セキュリティ機能と連携させ、アジャイルプロセスを導入することに重点を置いています。この整合により、専門チームは短期間のスプリントでイノベーションを加速させると同時に、ロードマップや長期計画も取り入れることができます。成熟フェーズでは、IT 運用チームとのコラボレーションと、深く専門的なクラウドスキルのスケールアップに焦点が当てられます。各セキュリティ機能は、効率性と効果を高めるための主要なツールとプロセスを実装し、それに伴い、段階的な変化と全体的な影響を測定するためのメトリクスとレポートメカニズムを開発します。

**Topics**
+ [

# プロセスの調整と測定
](tune-and-measure-processes.md)
+ [

# ツールの調整と測定
](tune-and-measure-tools.md)
+ [

# リスクの調整と測定
](tune-and-measure-risk.md)
+ [

# 成熟フェーズのユースケース例の確認
](review-examples.md)

# プロセスの調整と測定
<a name="tune-and-measure-processes"></a>

[アジャイルアプローチ](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html)は、より高い柔軟性とイノベーションを実現し、新しいアイデアを迅速にテストして実装するのに役立ちます。セキュリティチームを、インシデント対応担当者や脆弱性管理者などの専門的な役割に分割します。ロールは、 AWS クラウド導入フレームワーク (AWS CAF) の機能に対応する次の図のカテゴリと一致する必要があります。アジャイルアプローチは、チームが大きく考え、創造し、簡素化し、セキュリティ上の潜在的なギャップを特定することを促進します。これにより、将来の改善に向けたユーザーストーリーやロードマップのバックログが作成されます。

アジャイルプロセスを採用することで、特定のツールの機能のみに依存するのではなく、より動的で適応性の高いソリューションを実現できます。*フェイルファスト*は、頻繁かつ段階的なテストを使用することで開発ライフサイクルを短縮するという哲学であり、アジャイルアプローチの重要な部分です。変更を行い、それをテストし、その後、現在のアプローチを継続するか、あるいは代替のアプローチに切り替えるかを決定します。チームがこのサイクルで作業することで、組織はクラウドの急速な変化に対応し、最新の状態を維持できます。焦点を絞ったトレーニングも重要であり、クラウドセキュリティの特定のドメインに特化したトレーニングを提供する必要があります。



![\[セキュリティの柱の CAF AWS 機能に対応する特殊なロールを作成します。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**注記**  
このイメージには、CAF AWS のセキュリティ保証とセキュリティガバナンス機能は含まれていません。このガイドはセキュリティ運用に焦点を当てており、セキュリティ保証およびガバナンスはこのガイドの範囲外です。セキュリティ保証の詳細については、YouTube の「[AWS re:Inforce 2023 - Scaling compliance with AWS Control Tower](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ)」を参照してください。

組織では、クラウドにおける急速な開発と変化に対応することが可能なアジャイルアプローチを使用します。クラウド環境で実験と反復を開始するためのいくつかの方法を以下に示します。
+ 前の図に示すように、CAF AWS で定義されたカテゴリに特化します。
+ より動的になるために、運用ではなくイノベーションに焦点を当てます。
+ 人々がテスト、フェイルファスト、迅速な実装を行えるようにすることで、スプリントで迅速に進めます。また、このサイクルを継続することでビジネスの変化に対応します。
+ 継続的な運用をサポートするために、可能な場合は、クラウドベースの環境とオンプレミス環境のプロセスを整合させます。
+ 個人がドリルダウンして 1 つの分野に集中するのを支援するために、広範なトレーニングではなく、焦点を絞ったトレーニングを提供します。
+ 人々が大きく考え、「What If」を調査し、バックログ (ロードマップやギャップなど) を作成するように促進します。

# ツールの調整と測定
<a name="tune-and-measure-tools"></a>

さまざまなセキュリティドメインのための専門チームを確立した後、それらのチームを連携させます。[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、これを実現するのに役立ちます。Security Hub CSPM は、フレームワークの進行状況をモニタリングするための一元化された統合ダッシュボードを提供します。また、多くのサードパーティー製ツールを AWS セキュリティサービスと統合します。

米国国立標準技術研究所 (NIST) のウェブサイトに掲載されている NIST [Cybersecurity Framework](https://www.nist.gov/cyberframework) は、識別、防御、検知、対応、および復旧の 5 つの機能で構成されています。次の図は、各関数 AWS のサービス で異なる を使用し、統合レポート用に Security Hub CSPM に結果を送信するようにこれらのサービスを設定する方法を示しています。他のツールを使用する場合は、Security Hub CSPM API、 AWS Command Line Interface (AWS CLI)、および AWS Security Finding Format (ASFF) を使用してカスタム統合を作成できます。Security Hub CSPM と他の サービスとの統合の詳細については、Security Hub CSPM ドキュメントの[「 の製品統合 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)」を参照してください。



![\[と統合するセキュリティツール AWS Security Hub CSPM\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


Security Hub CSPM は、これらのすべてのサービスおよびツールと統合され、以下を提供します。
+ 更新を表示し、チームがその場で反復を実行するのを支援する統合ダッシュボードを提供
+ Amazon [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) [Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) などの AWS セキュリティサービスと自動的に統合
+ [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler) や [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag) などのサードパーティー製ツールとの統合をサポート
+ Security Hub CSPM API、 AWS CLI AWS Security Finding 形式 (ASFF) などのツールとのカスタム統合をサポート

# リスクの調整と測定
<a name="tune-and-measure-risk"></a>

ウォークステージの成熟フェーズでは、 AWS Security Hub CSPM を使用してセキュリティリスクを継続的に調整および測定できます。Security Hub CSPM は、組織のセキュリティ体制を継続的に評価し、特定された問題を修正するためのアクションを実行します。Security Hub CSPM は、、 サービス AWS アカウント、およびサポートされているサードパーティーパートナー全体のセキュリティ検出結果を一元化し、優先順位を付けます。これは、セキュリティの傾向を分析し、優先度の高いセキュリティ問題を特定するのにも役立ちます。

Security Hub CSPM は数百のセキュリティチェックを実行し、 AWS 環境へのリスクに基づいて分類します。Security Hub CSPM コンソールの統合ダッシュボードで、セキュリティコントロールに対するスコアを表示できます。詳細については、Security Hub [CSPM ドキュメントの「セキュリティスコアの決定](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html)」を参照してください。このダッシュボードを通じて、DevSecOps 関数は、失敗したチェック、セキュリティ問題の重要度、影響を受ける AWS リージョン とリソースをすばやく特定できます。特定されると、DevSecOps チームは問題に優先順位を付けて修正することができます。問題が修正されると、Security Hub CSPM は自動的に 状態を更新します。

# 成熟フェーズのユースケース例の確認
<a name="review-examples"></a>

成熟フェーズの例を以下に示します。これらの例では、さまざまなビジネス目標のためのモデル、ツール、およびプロセスを実践的なレベルで深く掘り下げます。

## 成熟: 脅威検知の例
<a name="mature-threat-detection-example"></a>

**検知コントロールのビジネス成果:** リスクを低減し、クラウドリソースの迅速な使用と開発を可能にするために、クラウドインシデントの可視性と検知速度を向上させます。

**ツール:** [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws) (GitHub) は、セキュリティインシデントの途中でログ記録を有効にすることができるオープンソースツールです。これにより、インシデントの可視性を迅速に高めることができます。

**サンプルユースケース:** 次の図に示すような単一アカウントのユースケースについて考えてみます。詳しい調査が必要なイベントがあります。ログ記録が有効になっているかどうかは不明です。この場合、最善のアクションは、 でドライランを実行してAssisted Log Enabler、有効または無効になっているサービスを確認することです。 は証 AWS CloudTrail 跡、DNS クエリログ、VPC フローログ、およびその他のログAssisted Log Enablerをチェックします。有効になっていない場合、 はそれらAssisted Log Enablerを有効にします。 はすべての でログ記録をチェックしてオンにAssisted Log Enablerできます AWS リージョン。

Assisted Log Enabler のスロットリングを調整することもできます。ドライランを完了し、イベントをクローズし、問題を解決したら、このレベルのログ記録は不要になります。デプロイをすばやくクリーンアップして、ログ記録を停止できます。この機能では、Assisted Log Enabler をトリアージツールとして使用できます。



![\[Assisted Log Enabler を使用して、ログ記録が有効または無効になっているサービスを確認する\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Assisted Log Enabler for AWS の主要な機能は次のとおりです。
+ 単一アカウント環境またはマルチアカウント環境で実行できます。
+ これを使用して、環境におけるログ記録のベースラインを確立できます。
+ ドライラン機能を使用して、現在の状態を確認し、どのサービスでログ記録が有効になっているかを特定できます。
+ ログ記録を有効にするサービスを選択できます。
+ ユースケースに合わせて、Assisted Log Enabler のスロットリングを調整できます。

## 成熟: IAM の例
<a name="mature-iam-example"></a>

**IAM ビジネス成果:** 可視化を自動化し、ベストプラクティスに照らして測定することで、継続的にリスクを低減し、セキュアな外部接続を可能にし、新しいユーザーや環境を迅速にプロビジョニングします。

**ツール:** [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) は、外部エンティティと共有されているリソースを特定し、ポリシー文法およびベストプラクティスに照らして IAM ポリシーを検証し、過去のアクセスアクティビティに基づいて IAM ポリシーを生成します。アカウントレベルと組織レベルの両方で IAM Access Analyzer を有効にすることを強くお勧めします。

**サービスの利点:** IAM Access Analyzer は、洞察に富んだ検出結果を多数提供します。また、外部エンティティと共有されている組織とアカウントのリソースを識別できます。パブリック S3 バケット、別のアカウント AWS KMS key と共有されている 、または外部アカウントと共有されているロールなどのリソースを検出できるため、組織の管理下にないリソースを識別するための優れた可視性が得られます。IAM ポリシーを検証するだけでなく、IAM ポリシーを自動的に生成することもできます。