AWS Managed Services を使用して運用上の優秀性を実現する - AWS 規範ガイダンス
セキュリティコンプライアンスプロアクティブなインシデント管理自動化と自動修復深い AWS の専門知識コスト最適化タイムリーな更新クラウドネイティブ継続的なガバナンスベンダーロックインなし

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Managed Services を使用して運用上の優秀性を実現する

AWS Managed Services (AMS) は、AWS インフラストラクチャの運用を管理するのに役立ちます。単一アカウントまたはマルチアカウントのどちらのランディングゾーンから開始するかにかかわらず、AMS は、AWS を大規模に導入して効率的かつ安全に運用するのに役立ちます。AMS における事前対応、予防、および検出の機能は、俊敏性を制約することなくリスクを軽減し、信頼性を向上させるように設計されています。これにより、組織が新機能やバグ修正などのイノベーションを優先することが可能になります。AMS の運用機能には、24 時間 365 日の事前対応型のモニタリングと修復、インシデントの検出と管理、セキュリティ管理、パッチ適用、バックアップ、およびコスト最適化が含まれます。AMS は、運用上のベストプラクティスの実装を支援し、専門的な自動化、スキル、および経験を提供します。詳細については、AWS Managed Services のフィーチャーを参照してください。

AMS は拡張された運用パートナーとして機能します。また、クラウドインフラストラクチャおよびセキュリティ運用を効果的に管理するのに役立ちます。これにより、IT 運用チームが運用タスクの実行に費やす時間を削減できます。これにより、チームはアプリケーションに関するより高レベルのアクティビティに集中できるようになり、その結果、開発プロセスを迅速化して新機能を顧客に提供できるようになります。以下の AMS 機能は、社内のクラウド運用チームの負荷を軽減することで、クラウド導入を加速させるのに役立ちます。

セキュリティ

セキュリティはあらゆる企業にとってきわめて重要であり、AWS Well-Architected フレームワークの主要な柱の 1 つです。AWS におけるセキュリティのベストプラクティスは、クラウド内で組織のデータ、システム、およびアセットを保護できるように設計されています。ログ記録、モニタリング、ID とアクセス管理、および暗号化は、クラウドリソースの保護に支援するために導入できるセキュリティコントロールの例です。セキュリティコントロールは、脅威アクターがセキュリティ脆弱性を悪用するのを防止、検出、または低減するための技術的または管理的なガードレールです。

AMS は、AWS のベストプラクティスと AWS のサービスを使用して、クラウド運用におけるリスクの軽減を継続的に支援します。規範的、予防的、検出的、および対応的なセキュリティコントロールが組み込まれています。AMS は、AWS ConfigAmazon GuardDuty などの AWS のサービスを通じて、200 を超えるマネージドガードレールおよびセキュリティチェックをデプロイおよびモニタリングします。AMS は、検出結果や非準拠のリソースを自動的に修復することもできます。AMS の対応プロセスは、米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワーク (CSF) 標準に準拠しています。

例えば、GuardDuty は、AWS 環境向けの継続的なセキュリティモニタリングサービスです。これは、機械学習および脅威インテリジェンスフィード (悪意のある IP アドレスやドメインのリストなど) を使用して、不正の可能性のある動作や異常な動作を識別します。AMS をサブスクライブすると、GuardDuty が有効化され、アカウントに侵害の兆候 (例えば、異常なアクセス動作、不正なインフラストラクチャデプロイメント、異常な API コールなど) がないかをモニタリングします。例えば、アカウント内のユーザーがパスワードポリシーのパスワード強度要件を低減する API コールを発行すると、GuardDuty によって検出されます。

AMS は、GuardDuty の検出結果を 24 時間 365 日モニタリングします。AMS はセキュリティ専門家とともに検出結果を調査し、お客様と連携して問題の修正または封じ込めを行います。詳細については、このガイドの「プロアクティブなインシデント管理」を参照してください。

さらに、AMS は Trusted Remediator などの高度なツールを提供します。このツールは、AWS Trusted Advisor のチェックで検出されたセキュリティ上の問題の修復を自動化します。Trusted Advisor のチェックによって AWS アカウントにおけるセキュリティギャップを解消する機会が示された場合、Trusted Remediator は推奨事項を作成します。Trusted Remediator を使用すると、確立されたベストプラクティスに基づく安全かつ標準化された方法で、セキュリティの推奨事項に対応できます。

AWS クラウドにおけるインフラストラクチャとデータの保護に AMS がどのように役立つかの詳細については、AMS ドキュメントの「セキュリティ管理」を参照してください。

コンプライアンス

AMS を使用すると、コンプライアンス要件を迅速に満たすことができます。AMS は、次のような多くの業界標準に準拠しています。

  • Center for Internet Security (CIS)

  • Payment Card Industry Data Security Standard (PCI DSS)

  • Health Insurance Portability and Accountability Act (HIPAA)

  • Health Information Trust Alliance 共通セキュリティフレームワーク (HITRUST CSF)

  • 影響度が「中」および「高」の FedRAMP ワークロード

同様のコントロールを必要とする多くのコンプライアンスフレームワークおよびその他の業界フレームワークに向けた取り組みを加速できます。例えば、AMS は PCI DSS に準拠しているため、セキュリティ、ログ記録、および監査のためのデフォルトインフラストラクチャは、組織が PCI DSS コンプライアンスをより迅速に達成するのに役立ちます。

業界標準およびフレームワークを満たすために、AMS は AWS Config ルールのライブラリを維持し、お客様のアカウントにデプロイします。これらのルールは、AWS アカウントがセキュリティおよび運用の整合性に関する標準に準拠しているかどうかを評価します。AWS Config は、リソースの設定変更を継続的に追跡します。変更がいずれかのルールの条件に違反している場合、AMS はその検出結果を報告します。違反の重大度に応じて、AMS が自動的に違反を修正するように設定できます。AMS が AWS Config を使用してアカウントを保護する方法の詳細については、AMS ドキュメントの「設定コンプライアンス」を参照してください。

プロアクティブなインシデント管理

24 時間 365 日のモニタリングにより、AMS は重大なインシデントをプロアクティブに検出し、通知できます。継続的なサービスを提供するために、異なるタイムゾーンにある 7 つ以上の地理的拠点間で問題を処理および引き継ぐ follow-the-sun モデルを使用します。これらのインシデントの多くは、タイムリーに対処されない場合、重要なビジネス機能のダウンタイムにつながる可能性があります。また、AMS は、根本原因の特定と調査を支援するために、繰り返し発生するインシデントに対する傾向分析も実行します。AMS のインシデント管理モデルは、検出結果が既に AWS の専門家によって特定およびレビューされているため、組織の平均応答時間と平均解決時間 (MTTR) を大幅に短縮できます。

自動化と自動修復

AMS は、自動化と標準化を通じてスケールします。自動化と自動修復は、手作業によるエラーを削減し、効率性を高め、アプリケーションの信頼性を向上させます。AMS は、一貫性、速度、正確性、および高品質な成果を実現するために、運用に対して自動化優先のアプローチを採用しています。これらの自動化には、一元化されたパッチ適用、モニタリング、アラートの発行、バックアップ、復元、または問題の修復が含まれます。自動修復の詳細については、「AMS automatic remediation of alerts」を参照してください。継続的な改善メカニズムを通じて、AMS は複雑な問題の解決を支援し、企業の規模やセグメントに関係なく、すべての AMS サブスクライバーに対してグローバルに継続的な運用効率を提供します。修復アクションを自動化することで、スタッフの関与の必要性が低減されます。これにより、コストが削減され、一貫性と信頼性が向上します。例えば、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが定義済みのしきい値 (ストレージ容量の 95% など) に近づいている場合、AMS は、自動的に既知のログを圧縮するか、基盤となるディスクおよびファイルシステムを拡張することで、ダウンタイムを回避します。また、AMS 運用チームは、将来的に同様の問題が発生するのを回避できるように、お客様と連携して根本原因を特定します。

深い AWS の専門知識

AMS の運用チームおよびデリバリーチームは、AWS のサービスの運用に関する深い専門知識を持っており、お客様のクラウド運用およびガバナンス能力の拡張とスキルアップを支援します。AMS の運用機能と経験を使用することで、組織が必要とするクラウド運用リソースの数を最小限に抑え、リソースを追加することなくビジネスをスケールできます。AMS は、サービスクレジットに基づく、インシデント対応および復元に関するサービスレベルアグリーメント (SLA) を提供します。AMS は、より広範な AWS サポートの対象範囲の一部であるため、複雑な技術的問題を解決できる AWS のサービスの専門家に直接アクセスできます。これにより、MTTR を大幅に短縮することもできます。

コスト最適化

AMS のクラウドサービスデリバリーマネージャー (CSDM) は、AWS リソースとクラウド運用の最適化を支援するために定期的に推奨事項を提供します。彼らは、AWS Trusted Advisor、AWS Compute Optimizer、AWS Well-Architected Tool などのさまざまなコスト最適化ツールおよびサービスを使用します。AMS は、Operations on Demand 機能を使用して、必要な変更を大規模に実装できます。AMS を使用すると、通常は年間の運用コストを大幅に削減でき、それによって AMS 自体のコストを大幅に相殺できます。

AMS は、AWS インフラストラクチャを管理するためのハンズオンキーボードサービスを提供するため、実際にコスト最適化変更 (使用率の低いインスタンスのインスタンスタイプの変更など) を実行できます。AMS には、AMS Resource Scheduler などの高度なコスト効率化機能が備わっており、短期および長期の削減目標を達成するために使用できる 20 以上の標準的な削減パターンが用意されています。詳細については、AMS ドキュメントの「Cost optimization with AMS Resource Scheduler」を参照してください。

さらに、AMS には Trusted Remediator などの高度なツールが用意されています。このツールは、AWS Trusted Advisor のチェックで検出されたコスト最適化の問題の修復を自動化します。Trusted Remediator は、Trusted Advisor チェックがコスト漏れを修正する機会を特定した場合に、推奨事項を作成します。これにより、全体的な総保有コスト (TCO) が削減されます。Trusted Remediator を使用すると、確立されたベストプラクティスに基づく安全かつ標準化された方法で、セキュリティの推奨事項に対応できます。

タイムリーな更新

AMS は、パッチオーケストレーションを通じて、すべての AWS アカウントおよび AWS リージョンにわたる自動化されたオペレーティングシステム (OS) パッチ適用を提供し、インフラストラクチャを最新の状態に保ちます。これにより、オペレーティングシステムベンダーからの重要なセキュリティパッチがタイムリーに更新されるため、セキュリティの脆弱性が低減され、インフラストラクチャを保護できます。パッチ適用に失敗した場合、AMS はその修復を試みます。また、スムーズな運用を維持するために必要な場合は、パッチ適用前のバックアップからインスタンスを復元します。また、ゼロデイエクスプロイトに対処するために、AMS のオンデマンドパッチ適用を活用することもできます。詳細については、AMS ドキュメントの「Patch management」を参照してください。

クラウドネイティブ

AMS は、AWS インフラストラクチャを効率的かつコスト効率良くモニタリングおよび管理するために、そのすべての自動化とツールにクラウドネイティブの AWS のサービスを使用します。例えば、パッチ適用の自動化を実行する場合、AMS は AWS Systems Manager、AWS Lambda、および Amazon Simple Notification Service (Amazon SNS) の組み合わせを使用します。AMS のサブスクリプションを解除し、クラウド運用チームがインフラストラクチャおよびセキュリティ管理を引き継ぐ場合でも、チームはサードパーティー製品を学習するためにスキルアップする必要はありません。AMS が実行したすべての変更や運用は、AWS アカウント内で確認できます。

AMS が主要な運用機能の一部で運用上の優秀性を実現するために、クラウドネイティブの AWS のサービスをどのように使用しているかについての詳細は、AMS リファレンスアーキテクチャの図を参照してください。

継続的なガバナンス

AMS は、セキュリティ、パフォーマンス、信頼性、コスト、および全体的な運用上の優秀性に関する継続的なガバナンスを提供することで、Cloud Center of Excellence (CCoE) チームを補強します。セルフサービスレポートに加えて、クラウドサービスデリバリーマネージャー (CSDM) およびクラウドアーキテクト (CA) という専任の担当者が割り当てられます。これらの担当者は、継続的なガイダンスを提供する拡張チームメンバーとしての役割を果たします。また、ビジネスレビューを通じて、AWS Cost ExplorerAWS Cost and Usage Report、および AWS Trusted Advisor などのツールを使用して、主要な運用リスクとメトリクスに関する深いインサイトを提供します。これらの担当者は、お客様と連携して、潜在的な改善点を特定および実装します。AMS は、CCoE チームから差別化されないタスクを引き取ってチームの負担を軽減します。その結果、CCoE チームは日常的なガバナンス活動ではなく、アプリケーション設計やモダナイゼーションの改善に集中できる、より効率的なチームになります。

ベンダーロックインなし

他の多くのサービスプロバイダーとは異なり、AMS は、他のほとんどの AWS のサービスと同様に、月単位の従量課金モデルを採用しています。クラウド運用チームは、AMS の自動化およびガバナンスから学ぶことができます。時間の経過とともに、AMS での経験を通じてスキルアップすることで、チームは自社の IT 運用プラクティスを改善することができ、最終的にインフラストラクチャおよびセキュリティの管理と運用を引き継ぐことができます。AMS はクラウドネイティブの AWS のサービスのみを使用するため、AMS にサブスクライブしても、サードパーティーとの契約やライセンスへのコミットメントは必要ありません。