翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティ所有権を分散する
責任AWS 共有モデルは
このモデルを組織内にミラーリングし、クラウドチームとアプリケーションチームの間で責任を分散できます。これにより、アプリケーションチームはアプリケーションの特定のセキュリティ面を所有するため、クラウドセキュリティプログラムをより効果的にスケールできます。責任共有モデルの最も簡単な解釈は、リソースを設定するためのアクセス権がある場合は、そのリソースのセキュリティに責任があることです。
アプリケーションチームにセキュリティ責任を配布する上で重要なのは、アプリケーションチームの自動化に役立つセルフサービスのセキュリティツールを構築することです。最初は、これは共同作業である可能性があります。セキュリティチームはセキュリティ要件をコードスキャンツールに変換し、アプリケーションチームはこれらのツールを使用して内部開発者コミュニティとソリューションを構築して共有できます。これにより、同様のセキュリティ要件を満たす必要がある他のチーム全体の効率が向上します。
次の表は、所有権をアプリケーションチームに配布する手順の概要と例を示しています。
| [ステップ] | [アクション] | 例 |
|---|---|---|
| 1 | セキュリティ要件を定義する – 何を達成しようとしていますか? これは、セキュリティ標準またはコンプライアンス要件から発生する場合があります。 | セキュリティ要件の例としては、アプリケーション ID の最小特権アクセスがあります。 |
| 2 | セキュリティ要件のコントロールを列挙する – この要件は実際にコントロールの観点から何を意味しますか? これを実現するにはどうすればよいですか? | アプリケーション ID の最小特権を実現するために、次の 2 つのサンプルコントロールがあります。
|
| 3 | コントロールのドキュメントガイダンス – これらのコントロールでは、開発者がコントロールに準拠できるように、開発者にどのようなガイダンスを提供できますか? | 最初は、安全な IAM ポリシーと安全でない IAM ポリシー、Amazon Simple Storage Service (Amazon S3) バケットポリシーなど、単純なサンプルポリシーを文書化することから始めることができます。次に、プロアクティブ評価にAWS Config ルールを使用するなど、継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプライン内にポリシースキャンソリューションを埋め込むことができます。 |
| 4 | 再利用可能なアーティファクトの開発 – ガイダンスにより、アーティファクトをより簡単にし、デベロッパー向けに再利用可能なアーティファクトを開発できますか? | 最小特権の原則に従う IAM ポリシーをデプロイするために、Infrastructure as Code (IaC) を作成できます。これらの再利用可能なアーティファクトは、コードリポジトリに保存できます。 |
セルフサービスは、すべてのセキュリティ要件では機能しない場合がありますが、標準シナリオでは機能します。これらのステップに従うことで、組織はアプリケーションチームがより多くのセキュリティ責任をスケーラブルに処理できるようになります。全体として、責任分散モデルは、多くの組織内でより協調的なセキュリティプラクティスにつながります。
