AWS 上でスケーラブルな脆弱性管理プログラムを構築する

Anna McAbee と Megan O'Neil、Amazon Web Services (AWS)

2023 年 10 月 (ドキュメント履歴)

使用している基盤となるテクノロジーに応じて、さまざまなツールやスキャンがクラウド環境でセキュリティ上の検出結果を生成できます。これらの検出結果を処理するプロセスがないと、検出結果が蓄積し始め、多くの場合、短期間で数千から数万件に達することもあります。ただし、構造化された脆弱性管理プログラムとツールの適切な運用により、組織はさまざまなソースからの多数の検出結果を処理およびトリアージできます。

脆弱性管理は、脆弱性の検出、優先順位付け、評価、修復、報告に重点を置いています。一方、パッチ管理は、セキュリティの脆弱性を削除または修正するためのソフトウェアのパッチ適用または更新に重点を置いています。パッチ管理は脆弱性管理の一側面にすぎません。一般的に、重要な即時パッチ適用が求められるシナリオに対応する patch-in-place プロセス (mitigate-in-place プロセスとも呼ばれます) と、パッチ適用済みの Amazon マシンイメージ (AMI)、コンテナ、またはソフトウェアパッケージをリリースするために定期的に実行する標準プロセスの両方を確立することをお勧めします。これらのプロセスは、組織がゼロデイ脆弱性に迅速に対応するための準備に役立ちます。本番環境の重要なシステムでは、patch-in-place プロセスを使用すると、フリート全体に新しい AMI をロールアウトするよりも高速で信頼性が高くなります。オペレーティングシステム (OS) やソフトウェアパッチなど、定期的にスケジュールされたパッチについては、ソフトウェアレベルの変更と同様に、標準の開発プロセスを使用してビルドおよびテストすることをお勧めします。これにより、標準的な運用モードでの安定性が向上します。AWS Systems Manager の一機能である Patch Manager、またはその他のサードパーティー製品を patch-in-place ソリューションとして使用できます。Patch Manager の使用の詳細については、「AWS クラウド導入フレームワーク: オペレーションのパースペクティブ」の「パッチ管理」を参照してください。また、EC2 Image Builder を使用して、カスタマイズされた最新のサーバーイメージの作成、管理、デプロイを自動化できます。

AWS でスケーラブルな脆弱性管理プログラムを構築するには、クラウド設定リスクに加えて、従来のソフトウェアとネットワークの脆弱性を管理する必要があります。暗号化されていない Amazon Simple Storage Service (Amazon S3) バケットなどのクラウド設定リスクは、ソフトウェアの脆弱性と同様のトリアージおよび修復プロセスに従う必要があります。どちらの場合も、アプリケーションチームが、基盤となるインフラストラクチャを含むアプリケーションのセキュリティを所有し、責任を負う必要があります。この所有権の分散は、効果的でスケーラブルな脆弱性管理プログラムにとって重要です。

このガイドでは、全体的なリスクを軽減するために、脆弱性の特定と修復を合理化する方法について説明します。以下のセクションを使用して、脆弱性管理プログラムを構築してイテレーションします。

クラウド脆弱性管理プログラムの構築には、多くの場合、イテレーションが伴います。このガイドの推奨事項に優先順位を付け、バックログを定期的に見直すことで、テクノロジーの変化とビジネス要件に常に対応できます。

対象者

このガイドは、セキュリティ関連の検出結果を担当する 3 つの主要チームを持つ大企業を対象としています。セキュリティチーム、Cloud Center of Excellence (CCoE) またはクラウドチーム、アプリケーション (または開発者) チームです。このガイドでは、最も一般的なエンタープライズ運用モデルを使用し、これらの運用モデルに基づいて構築することで、セキュリティの検出結果により効率的に対応し、セキュリティの結果を向上させます。AWS を使用する組織では、構造や運用モデルが異なる場合がありますが、このガイドの概念の多くは、さまざまな運用モデルや小規模な組織に合わせて変更できます。

目的

このガイドは、お客様や組織が以下のことを行うのに役立ちます。