翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 不正アクセスおよびデータ流出の防止
[2022 Cost of a Data Breach Report](https://securityintelligence.com/series/2022-cost-of-a-data-breach-report/) (Ponemon Institute のレポート) によると、2022 年におけるデータ侵害の平均コストは 430 万 USD でした。半導体企業にとって、知的財産 (IP) を保護することはきわめて重要です。不正アクセスによる IP の損失は、金銭的損失、評判の低下、あるいは法的責任につながる可能性もあります。これらの潜在的な影響により、データへのアクセスとデータのフローを制御することが、適切なアーキテクチャ設計の重要な側面となります。
データを保護するための主な考慮事項には、次のものがあります。
+ セキュアな開発環境へのアクセスのためのユーザー認証
+ セキュアな開発環境内のデータへのアクセスのためのユーザー認可
+ セキュアな開発環境との間で行われるすべての転送のログ記録
+ 環境間のセキュアなデータフローのアーキテクチャ設計
+ 転送中のデータおよび保管中のデータの暗号化
+ アウトバウンドネットワークトラフィックの制限とログ記録
## 許可を設定する
[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) は、誰を認証し、誰に使用を承認するかを制御することで、 AWS リソースへのアクセスを安全に管理できます。デフォルトでは、 のアクション AWS は、明示的に許可されない限り、暗黙的に拒否されます。 AWS では、*ポリシー*を作成することでアクセスを管理します。ポリシーを使用すると、どのユーザーがどのリソースにアクセスできるか、それらのリソースに対してどのようなアクションを実行できるかを、きめ細かいレベルで定義できます。 AWS ベストプラクティスは、最小特権のアクセス許可を適用することです。つまり、タスクの実行に必要なアクセス許可のみをユーザーに付与します。詳細については、IAM ドキュメントの以下のセクションを参照してください。
+ [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [ポリシーの評価論理](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)
+ [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#:~:text=Management%20User%20Guide.-,Apply%20least%2Dprivilege%20permissions,known%20as%20least%2Dprivilege%20permissions)
## ユーザーの認証
一時的な認証情報を使用して、ID プロバイダーとのフェデレーション AWS を使用して にアクセスすることを人間のユーザーに要求するのが AWS ベストプラクティスです。ユーザーワークフォースのアクセスを一元化するために推奨されるサービスは、[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) です。このサービスは、ワークフォース ID を安全に作成または接続し、 AWS アカウント および アプリケーション間で一元的にアクセスを管理するのに役立ちます。IAM Identity Center は、SAML 2.0、Open ID Connect (OIDC)、または OAuth 2.0 を使用して外部 ID プロバイダー (IdP) とフェデレーションすることで、シームレスな統合とユーザー管理を実現できます。詳細については、[「Identity federation in AWS](https://aws.amazon.com/identity/federation/) (AWS marketing) and [Identity providers and federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) (IAM ドキュメント)」を参照してください。
また、[AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) を使用して Active Directory などのディレクトリで定義されたユーザーやグループを管理することで、ユーザーを認証および認可することもできます。セキュアな開発環境内では、Linux のファイルアクセス許可を使用して、仮想プライベートクラウド (VPC) 内のデータアクセスを認可および制限できます。[VPC エンドポイント](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html)を使用して、パブリックインターネットを経由 AWS のサービス せずに へのアクセスを提供します。[エンドポイントポリシー](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)を使用してエンドポイントを使用できる AWS プリンシパルを制限し、アイデンティティベースのポリシーを使用してアクセスを制限します AWS のサービス。
## データ転送
AWS には、オンプレミスデータをクラウドに移行するいくつかの方法があります。一般的には、最初に [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) にデータを保存します。Amazon S3 は、任意の量のデータを保存、保護、取得するのに役立つ、クラウドベースのオブジェクトストレージサービスです。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとの間でデータを転送する場合は、最大 25 Gbps の帯域幅を提供します。また、クロスリージョンのデータレプリケーションとデータ階層化も提供します。Amazon S3 に保存されているデータは、レプリケーションソースとして使用できます。これを使用して、新しいファイルシステムを作成したり、EC2 インスタンスにデータを転送したりできます。Amazon S3 は、半導体ツールとフロー用の AWS マネージドポータブルオペレーティングシステムインターフェイス (POSIX) 準拠のファイルシステムのバックエンドとして使用できます。
もう 1 つの AWS ストレージサービスは [Amazon FSx](https://docs.aws.amazon.com/fsx/) です。これは、業界標準の接続プロトコルをサポートし、 全体で高可用性とレプリケーションを提供するファイルシステムを提供します AWS リージョン。半導体業界における一般的な選択肢としては、[Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html)、[Amazon FSx for Lustre](https://docs.aws.amazon.com/fsx/latest/LustreGuide/what-is.html)、[Amazon FSx for OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html) などがあります。Amazon FSx のスケーラブルで高性能なファイルシステムは、セキュアな開発環境内でデータをローカルに保存するのに適しています。
AWS では、最初に で AWS 半導体ワークロードの[ストレージ要件を定義](https://docs.aws.amazon.com/whitepapers/latest/semiconductor-design-on-aws/define-storage-requirements-and-transfer-data.html)し、次に適切なデータ転送メカニズムを特定することをお勧めします。 AWS では、 を使用してオンプレミスから にデータを[AWS DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/what-is-datasync.html)転送することをお勧めします AWS。DataSync は、ファイルまたはオブジェクトデータを AWS ストレージサービスとの間で移動したり、AWS ストレージサービス間で移動したりするのに役立つオンラインデータ転送および検出サービスです。セルフマネージド型のストレージシステムを使用しているか、NetApp などのストレージプロバイダーを使用しているかに応じて、インターネット経由または AWS Direct Connect経由でセキュアな開発環境へのデータの移動とレプリケーションを高速化するように DataSync を設定できます。DataSync は、所有権、タイムスタンプ、アクセス許可などのファイルシステムデータおよびメタデータを転送できます。FSx for ONTAP と NetApp ONTAP の間でファイルを転送する場合は、[NetApp SnapMirror ](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/migrating-fsx-ontap-snapmirror.html)を使用する AWS ことをお勧めします。Amazon FSx では、保管中のデータおよび転送中のデータの暗号化をサポートしています。[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) およびその他のサービス固有のログ記録機能を使用して、すべての API コールおよび関連するデータ転送をログに記録します。専用アカウントにログを一元化し、変更不可能な履歴に対してきめ細かいアクセスポリシーを適用します。
AWS は、、[AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)[Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)、、ウェブプロキシなどのアプリケーション対応ネットワークファイアウォールなど[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)、データフローの制御に役立つ追加サービスを提供します。Amazon Virtual Private Cloud (Amazon VPC) 内の[セキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)、[ネットワークアクセコントロールリスト](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)、および VPC エンドポイント、さらに Network Firewall、[Transit Gateway ルートテーブル](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)、および AWS Organizationsの[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) を使用してネットワークセグメンテーションを適用することにより、環境内のデータフローを制御します。[VPC フローログ](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/vpc-flow-logs.html)、およびそのバージョン 2~5 で[使用可能なフィールド](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-fields)を使用して、すべてのネットワークトラフィックを一元的にログ記録します。
## データの暗号化
[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) カスタマーマネージドキーまたは [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) を使用して、保管中のすべてのデータを暗号化します。きめ細かいキーリソースポリシーを作成して維持します。詳細については、「[Creating an enterprise encryption strategy for data at rest](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html)」を参照してください。
業界標準の 256 ビット Advanced Encryption Standard (AES-256) 暗号を使用した TLS 1.2 以上を適用して、転送中のデータを暗号化します。
## アウトバウンドネットワークトラフィックの管理
セキュアな開発環境でインターネットアクセスが必要である場合、すべてのアウトバウンドインターネットトラフィックは、Network Firewall や [Squid](http://www.squid-cache.org/Intro/) (オープンソースのプロキシ) などのネットワークレベルの適用ポイントを介して、ログ記録および制限される必要があります。VPC エンドポイントとインターネットプロキシは、ユーザーによる不正なデータ流出を防止するのに役立ちます。これは、セキュアな開発環境内のデータへのアクセスを VPC 内でのみ許可する場合に重要です。
最後に、Amazon VPC の機能である [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) を使用して、ネットワークセグメンテーションの検証を実行したり、指定した要件を満たさない潜在的なネットワークパスを特定したりできます。
セキュリティコントロールをレイヤリングすることで、堅牢なデータ境界を確立して適用できます。詳細については、「 [でのデータ境界の構築 AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)」を参照してください。