翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティ所有権を分散する
責任AWS 共有モデルは
このモデルを組織内にミラーリングし、クラウドチームとアプリケーションチームの間で責任を分散できます。これにより、アプリケーションチームがアプリケーションの特定のセキュリティ面を担当するため、クラウドセキュリティプログラムをより効果的にスケールできます。責任共有モデルの最もわかりやすい解釈は、リソースの設定権限を持つ者が、そのリソースのセキュリティに責任を持つということです。
セキュリティ責任をアプリケーションチームに分散する上で重要なのは、アプリケーションチームが自動化を行えるようにするセルフサービスのセキュリティツールを構築することです。初期段階では、これは共同で取り組むことができます。セキュリティチームは、セキュリティ要件をコードスキャンツールに変換し、アプリケーションチームはこれらのツールを使用してソリューションを構築し、社内の開発者コミュニティと共有できます。これにより、同様のセキュリティ要件を満たす必要がある他のチーム全体の効率が向上します。
次の表は、所有権をアプリケーションチームに分散する手順と例を示しています。
| [ステップ] | [アクション] | 例 |
|---|---|---|
| 1 | セキュリティ要件を定義する – 何を達成しようとしていますか? これは、セキュリティ標準またはコンプライアンス要件に要件に基づいて定義される場合があります。 | セキュリティ要件の例としては、アプリケーション ID の最小特権アクセスがあります。 |
| 2 | セキュリティ要件のコントロールを列挙する – この要件は、コントロールの観点から実際に何を意味しますか? これを実現するにはどうすればよいですか? | アプリケーション ID の最小特権を実現するために、次の 2 つのコントロールが例として挙げられます。
|
| 3 | コントロールに関するガイダンスを文書化する – これらのコントロールについて、開発者がコントロールに準拠できるようにどのようなガイダンスを提供できますか? | 最初は、安全な IAM ポリシーと安全でない IAM ポリシー、Amazon Simple Storage Service (Amazon S3) バケットポリシーなど、シンプルなポリシーの例を文書化することから始めるとよいでしょう。次に、プロアクティブ評価にAWS Config ルールを使用するなど、継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプライン内にポリシースキャンソリューションを埋め込むことができます。 |
| 4 | 再利用可能なアーティファクトを開発する – ガイダンスに基づいて、開発者がより簡単に活用できるよう、再利用可能なアーティファクトを開発できますか? | 最小特権の原則に従う IAM ポリシーをデプロイするために、Infrastructure as Code (IaC) を作成できます。これらの再利用可能なアーティファクトは、コードリポジトリに保存できます。 |
セルフサービスは、すべてのセキュリティ要件に対応できるとは限りませんが、標準的なシナリオには対応できます。これらのステップに従うことで、組織はアプリケーションチームが自らのセキュリティ責任のより多くをスケーラブルに担えるようにすることができます。全体として、責任分散モデルは、多くの組織内で、より協調的なセキュリティプラクティスの実現につながります。
