翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # クラウドチームの例: VPC 設定の変更 クラウドチームは、ユースケースに合わない AWS デフォルト設定の変更など、一般的な傾向を持つセキュリティ検出結果の優先順位付けと修復を担当します。これらの検出結果は、VPC 設定などの多くの AWS アカウント またはリソースに影響を与える傾向があり、環境全体に配置する必要がある制限が含まれています。ほとんどの場合、クラウドチームはポリシーの追加や更新など、手動による 1 回限りの変更を行います。 組織が AWS 環境をしばらく使用した後、一連のアンチパターンが開発されている場合があります。*アンチパターン*とは、繰り返し起こる問題に対して頻繁に用いられる解決策で、その解決策が逆効果であったり、効果がなかったり、代替案よりも効果が低かったりするものです。これらのアンチパターンの代わりに、組織は AWS Organizations サービスコントロールポリシー (SCPs) や IAM Identity Center アクセス許可セットなど、より効果的な環境全体の制限を使用できます。SCP とアクセス許可セットは、ユーザーがパブリックな Amazon Simple Storage Service (Amazon S3) バケットを設定できないようにするなど、リソースタイプに対する追加の制限を提供することができます。すべての考え得るセキュリティ設定を制限したくなることもありますが、SCP とアクセス許可セットにはポリシーサイズ制限があります。予防的コントロールと検出的コントロールには、バランスの取れたアプローチをお勧めします。 以下は、クラウドチームが担当する AWS Security Hub CSPM [可能性のある基盤セキュリティベストプラクティス (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 標準のコントロールです。 + [[EC2.2] VPC のデフォルトのセキュリティグループは、インバウンドトラフィックとアウトバウンドトラフィックを許可しないでください](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) + [[EC2.6] VPC フローログ記録はすべての VPCsで有効にする必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-6) + [[EC2.23] Amazon EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け入れないでください](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) + [[CloudTrail.1] CloudTrail を有効にし、読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を設定する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-1) + [[Config.1] AWS Config を有効にする必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1) この例では、クラウドチームが FSBP コントロール EC2.2 の検出結果に対処しています。このコントロールの[ドキュメント](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2)では、デフォルトのインバウンドルールとアウトバウンドルールによって広範なアクセスが許可されるため、デフォルトのセキュリティグループを使用しないことが推奨されています。デフォルトのセキュリティグループは削除できないため、ルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限することが推奨されています。この問題に効率的に対処するには、各 VPC にこのデフォルトのセキュリティグループがあるため、クラウドチームは確立されたメカニズムを使用してすべての VPC のセキュリティグループルールを変更する必要があります。ほとんどの場合、クラウドチームは [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) のカスタマイズや、[https://www.terraform.io/](https://www.terraform.io/)、[AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) などの Infrastructure as Code (IaC) ツールを使用して VPC 設定を管理します。