# 付録 A: クラウド機能の定義
AWS では、200 を超えるクラウドサービスと数千の機能を提供しています。これらの多くは検出、予防、対応のネイティブ機能備えているほか、カスタムセキュリティソリューションの構築に使用できるものもあります。このセクションでは、クラウドでのインシデント対応に最も関連性の高いサービスのサブセットについて説明します。
**Topics**
+ [ログ記録とイベント](logging-and-events.md)
+ [可視性とアラート](visibility-and-alerting.md)
+ [オートメーション](automation-1.md)
+ [安全なストレージ](secure-storage.md)
+ [将来のセキュリティ機能とカスタムセキュリティ機能](custom.md)
# ログ記録とイベント
[https://aws.amazon.com/cloudtrail/](https://aws.amazon.com/cloudtrail/) – AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用監査、およびリスク監査などを可能にするサービスです。CloudTrail を使用すると、AWS サービス全体のアクションに関連するアカウントアクティビティをログに記録し、継続的にモニタリングし、保持できます。CloudTrail は、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、およびその他の AWS サービスを通じて実行されたアクションなどの AWS アカウントアクティビティのイベント履歴を提供します。このイベント履歴により、セキュリティ分析、リソースの変更追跡、トラブルシューティングが簡素化されます。CloudTrail は次の 2 種類の AWS API アクションをログに記録します。
+ **CloudTrail 管理イベント** (コントロールプレーンオペレーションとも呼ばれる) は、AWS アカウントのリソースで実行される管理オペレーションを示します。これには、Amazon S3 バケットの作成やログ記録の設定などのアクションが含まれます。
+ **CloudTrail データイベント** (データプレーンオペレーションとも呼ばれる) は、AWS アカウントのリソース上またはリソース内で実行したリソースオペレーションを示します。これらの操作は、多くの場合、高ボリュームのアクティビティです。これには、Amazon S3 オブジェクトレベルの API アクティビティ (例: `GetObject`、`DeleteObject`、`PutObject` API オペレーション) や Lambda 関数の呼び出しアクティビティなどのアクションが含まれます。
[https://aws.amazon.com/config/](https://aws.amazon.com/config/) – AWS Config は、お客様が AWS リソースの設定の査定、監査、評価を行えるようにするサービスです。AWS Config は、AWS リソース設定を継続的に監視および記録し、記録された設定を、必要な設定に照らして自動的に評価することができます。AWS Config を使用すると、手動または自動での AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、お客様のガイドラインで指定された設定に対して、全体的なコンプライアンスを判断できます。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡素化できます。
[https://aws.amazon.com/eventbridge/](https://aws.amazon.com/eventbridge/) – Amazon EventBridge は、AWS リソースの変更を記述したシステムイベントのストリームをほぼリアルタイムに配信するか、または API コールが AWS CloudTrail によって公開されたときに配信します。すぐに設定できる簡単なルールを使用して、ルールに一致したイベントを 1 つ以上のターゲット関数またはストリームに振り分けることができます。オペレーションの変更が発生すると、EventBridge はその変更を認識します。EventBridge は、これらのオペレーションの変更に応答し、必要に応じて、応答メッセージを環境に送り、機能をアクティブ化し、変更を行い、状態情報を収集することによって、修正アクションを実行します。Amazon GuardDuty などの一部のセキュリティサービスは、EventBridge イベントの形式で出力を生成します。多くのセキュリティサービスは、出力を Amazon S3 に送信するオプションも提供しています。
**Amazon S3 アクセスログ** – 機密情報が Amazon S3 バケットに保存されている場合、お客様は Amazon S3 アクセスログを有効にして、そのデータに対するすべてのアップロード、ダウンロード、変更を記録できます。このログは、バケット自体への変更 (アクセスポリシーやライフサイクルポリシーの変更など) を記録する CloudTrail ログとは別に追加されます。アクセスログレコードの配信は、ベストエフォートベースで行われることに注意してください。ログ記録用に適切にバケットを設定した場合、そのバケットへのほとんどのリクエストについてログレコードが配信されます。サーバーログの完全性や適時性は保証されません。
[https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) – お客様は、CloudWatch Logs エージェントを使用して Amazon EC2 インスタンスで実行されているオペレーティングシステム、アプリケーション、その他のソースから発信されたログファイルを、Amazon CloudWatch Logs を使用して監視、保存、およびアクセスできます。CloudWatch Logs は、AWS CloudTrail、Route 53 DNS クエリ、VPC フローログ、Lambda 関数などの送信先になります。関連するログデータは CloudWatch Logs から取得することができます。
[https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) – VPC フローログを使用すると、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャすることができます。フローログを有効にした後で、Amazon CloudWatch Logs と Amazon S3 にストリーミングできます。VPC フローログは、特定のトラフィックがインスタンスに到達しない理由のトラブルシューティング、過度に制限の厳しいセキュリティグループルールの診断、EC2 インスタンスへのトラフィックを監視するためのセキュリティツールとしての使用など、さまざまなタスクでお客様を支援します。VPC フローログの最新バージョンを使用して、最も堅牢なフィールドを取得できます。
[https://aws.amazon.com/waf/](https://aws.amazon.com/waf/) – AWS WAF は、サービスによって検査されたすべてのウェブリクエストの完全なログ記録をサポートします。お客様は、これらを Amazon S3 に保存して、コンプライアンスと監査の要件を満たすだけでなく、デバッグとフォレンジックも実行できます。これらのログは、開始されたルールとブロックされたウェブリクエストの根本原因をお客様が判断するのに役立ちます。ログは、サードパーティーの SIEM およびログ分析ツールと統合できます。
[https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html) – Route 53 Resolver クエリログを使用すると、Amazon Virtual Private Cloud (Amazon VPC) 内のリソースによって行われたすべての DNS クエリをログに記録できます。Amazon EC2 インスタンス、AWS Lambda 関数、またはコンテナのいずれであっても、Amazon VPC 内から DNS クエリを行うと、この機能がそれをログに記録します。これにより、アプリケーションの動作を調べて理解を深めることができます。
**その他の AWS ログ** – AWS は、お客様向けにサービス機能を継続的にリリースし、新しいログ記録およびモニタリング機能を提供しています。各 AWS サービスで使用できる機能の詳細については、公開ドキュメントを参照してください。
# 可視性とアラート
[https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/) – AWS Security Incident Response は、自動化された機能と専門家のサポートを組み合わせることで、組織がライフサイクル全体を通じてセキュリティイベントを処理するのに役立つ包括的なサービスです。このサービスは、自動モニタリングと調査機能を活用して、セキュリティを注意深く監視しながら組織のリソースを解放します。また、セキュリティイベントが発生した場合、ステークホルダー間の迅速なコミュニケーションと調整を容易にし、応答時間が短縮されます。このサービスは、セキュリティイベントの準備とシミュレーション、アクティブなインシデントへの対応、インシデント後の報告と分析の合理化など、複数のユースケースをサポートしているため、組織はあらゆる段階でセキュリティ上の課題に対応する十分な準備が整います。
[https://aws.amazon.com/security-hub/](https://aws.amazon.com/security-hub/) – AWS Security Hub CSPM は、AWS アカウント全体で優先度の高いセキュリティアラートとコンプライアンスステータスを包括的に把握できます。Security Hub CSPM は、Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Partner ソリューションなど、さまざまな AWS サービスからの脅威検出結果を集約し、整理して優先順位を付けます。検出結果は、実用的なグラフとテーブルを含む統合ダッシュボードで視覚的に要約されます。また、組織が準拠する AWS のベストプラクティスと業界標準に基づいて、自動化されたコンプライアンスチェックを使用して環境を継続的にモニタリングすることもできます。
[https://aws.amazon.com/guardduty/](https://aws.amazon.com/guardduty/) – Amazon GuardDuty は、悪意ある動作や不正な挙動を継続的にモニタリングし、お客様の AWS アカウントとワークロードの保護を支援するマネージド脅威検出サービスです。異常な API コール、不正なデプロイの可能性 (Amazon EC2 インスタンス、Amazon S3 バケットのアカウントやリソースが侵害された可能性を示す)、悪意のある人物による偵察などのアクティビティをモニタリングします。
GuardDuty は、機械学習を使用してアカウントとワークロードのアクティビティの異常を検出し、統合された脅威インテリジェンスフィードを通じて悪意が疑われる人物を特定します。潜在的な脅威が検出されると、サービスは GuardDuty コンソールと CloudWatch Events に詳細なセキュリティアラートを送信します。これにより、アラートに対して行動を起こすことが可能になり、既存のイベント管理およびワークフローシステムに簡単に統合できます。
GuardDuty には、Amazon S3 Protection 用の Amazon GuardDuty と Amazon EKS Protection 用の Amazon GuardDuty の 2 つの脅威モニタリング用アドオンも用意されています。Amazon S3 Protection により、GuardDuty はオブジェクトレベルの API オペレーションをモニタリングし、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定できるようになります。Kubernetes Protection により、GuardDuty は、Amazon EKS 内の Kubernetes クラスターの疑わしいアクティビティと侵害の可能性を検出できます。
[https://aws.amazon.com/macie/](https://aws.amazon.com/macie/) – Amazon Macie は AI を活用したセキュリティサービスであり、AWS に保存されている機密データを自動的に検出、分類、保護することで、データ損失を防ぐことに役立ちます。Macie は機械学習 (ML) を使用して、個人を特定できる情報 (PII) や知的財産などの機密データを認識し、ビジネス価値を割り当て、このデータが組織のどこに保存され、どのように利用されているかを可視化します。Amazon Macie は、データアクセスアクティビティの異常を継続的にモニタリングし、不正アクセスや不注意によるデータ漏洩のリスクを検出すると、アラートを送信します。
[https://aws.amazon.com/config/](https://aws.amazon.com/config/) – AWS Config ルールは、リソースの優先設定を表し、AWS Config によって記録される関連リソースの設定変更に対して評価されます。リソースの設定に対するルールの評価結果は、ダッシュボードで確認できます。AWS Config ルールを使用すると、全体的なコンプライアンスとリスクのステータスを設定の観点から評価し、時間の経過に伴うコンプライアンスの傾向を確認し、リソースがルールに準拠しなくなる原因となった設定変更を見つけることができます。
[https://aws.amazon.com/premiumsupport/technology/trusted-advisor/](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) – AWS Trusted Advisor は、AWS 環境を最適化することでコストを削減し、パフォーマンスを向上させ、セキュリティを向上させるのに役立つオンラインリソースです。Trusted Advisor は、AWS のベストプラクティスに従ってリソースをプロビジョニングするのに役立つリアルタイムのガイダンスを提供します。CloudWatch Events の統合を含むすべての Trusted Advisor チェックは、ビジネスサポートプランおよびエンタープライズサポートプランのお客様が利用できます。
[https://aws.amazon.com/cloudwatch/](https://aws.amazon.com/cloudwatch/) – Amazon CloudWatch は、AWS クラウドのリソースと、AWS で実行されるアプリケーションをモニタリングするサービスです。CloudWatch を使用して、メトリクスの収集とトラッキング、ログファイルの収集とモニタリング、アラームの設定、AWS リソースの変更への自動対応を行うことができます。CloudWatch では、Amazon EC2 インスタンス、Amazon DynamoDB テーブル、Amazon RDS DB インスタンスなどの AWS リソース、およびアプリケーションやサービスに生成されたカスタムメトリクス、アプリケーションが生成するあらゆるログファイルをモニタリングできます。Amazon CloudWatch を使用して、リソースの使用率、アプリケーションのパフォーマンス、運用の状況をシステム全体で把握できます。これらの洞察を使用して適宜対応し、アプリケーションのスムーズな動作を維持できます。
[https://aws.amazon.com/inspector/](https://aws.amazon.com/inspector/) – Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。Amazon Inspector では、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認できます。評価を実行した後、Amazon Inspector は、重要度のレベルごとに優先順位が付けられたセキュリティ結果の詳細なリストを作成します。これらの検出結果は、直接確認することも、Amazon Inspector コンソールまたは API から入手できる詳細な評価レポートの一部として確認することもできます。
[https://aws.amazon.com/detective/](https://aws.amazon.com/detective/) – Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、より迅速かつ効率的なセキュリティ調査を実施できるリンクされたデータセットを構築するセキュリティサービスです。Detective は、VPC フローログ、CloudTrail、GuardDuty などの複数のデータソースの何兆ものイベントを分析し、リソース、ユーザー、およびそれらの間の時間の経過に伴うインタラクションを統合したインタラクティブビューを自動的に作成します。この統合されたビューを使用して、すべての詳細とコンテキストを 1 か所で可視化して、検出結果の根本的な理由を特定し、関連する過去のアクティビティを掘り下げ、根本原因をすばやく特定できます。
# オートメーション
[https://aws.amazon.com/lambda](https://aws.amazon.com/lambda) – AWS Lambda はイベント発生時にお客様のコードを実行し、基盤となるコンピューティングリソースをお客様に代わって自動で管理する、サーバーレスコンピューティングサービスです。Lambda を使用して、AWS の他のサービスをカスタムロジックで拡張したり、AWS のスケール、パフォーマンス、セキュリティで動作する独自のバックエンドを作成したりすることができます。Lambda は可用性の高いコンピューティングインフラストラクチャでコードを実行し、コンピューティングリソースの管理を実行します。これにはサーバーおよびオペレーティングシステムの管理、容量のプロビジョニングおよびオートスケーリング、コードとセキュリティパッチのデプロイ、コードのモニタリングとログ記録などが含まれます。必要なのはコードを提供することだけです。
[https://aws.amazon.com/step-functions/](https://aws.amazon.com/step-functions/) – AWS Step Functions により、視覚的なワークフローを使用して分散アプリケーションとマイクロサービスのコンポーネントを容易に調整できるようになります。Step Functions には、アプリケーションのコンポーネントを整理し、一連のステップとして可視化できるグラフィカルコンソールがあります。これにより、複数のステップが必要なアプリケーションを簡単に構築して実行できます。Step Functions では、各ステップが自動的に開始および追跡され、エラーが発生した場合は再試行されるため、アプリケーションが意図したとおりの順序で実行されます。
また、Step Functions では各ステップの状態がログに記録されるため、問題が発生した場合は、問題を簡単に診断およびデバッグできます。コードを記述せずにステップを変更および追加できるため、アプリケーションを進化させ、イノベーションを高速化できます。AWS Step Functionsは AWS Serverless の一部であり、サーバーレスアプリケーションの AWS Lambda 関数を簡単にオーケストレーションできます。Step Functions は、Amazon EC2 や Amazon ECS などのコンピューティングリソースを使用したマイクロサービスのオーケストレーションにも使用できます。
[https://aws.amazon.com/systems-manager/](https://aws.amazon.com/systems-manager/) – AWS Systems Manager は、AWS 上のインフラストラクチャを可視化し、制御するためのサービスです。Systems Manager を使用すると、統合ユーザーインターフェイスで複数の AWS サービスの運用データを確認でき、AWS リソース全体に関わる運用タスクを自動化できます。Systems Manager を使用すると、アプリケーションごとにリソースをグループ化し、モニタリングとトラブルシューティングのために運用データを確認し、リソースのグループに対して対応できます。Systems Manager は、インスタンスを定義された状態に保ち、アプリケーションの更新やシェルスクリプトの実行などのオンデマンドの変更を実行し、その他の自動化タスクやパッチ適用タスクを実行できます。
# 安全なストレージ
[https://aws.amazon.com/s3/](https://aws.amazon.com/s3/) – Amazon S3 はオブジェクトストレージであり、任意の場所の任意の量のデータを保存および取得するように構築されています。99.999999999% の耐久性を実現するように設計されており、あらゆる業界のマーケットリーダーが使用する数百万ものアプリケーションのデータを保存します。Amazon S3 は包括的なセキュリティを提供し、規制要件を満たすように設計されています。これにより、コストの最適化、アクセスコントロール、コンプライアンスのためのデータの管理に使用する方法に柔軟性がもたらされます。Amazon S3 が提供する query-in-place 機能により、Amazon S3 に保存されているデータに対して強力な分析を直接実行できます。Amazon S3 は広くサポートされているクラウドストレージサービスであり、サードパーティーソリューション、システムインテグレーターパートナー、その他の AWS サービスの最大のコミュニティの 1 つと統合されています。
[https://aws.amazon.com/s3/storage-classes/glacier/](https://aws.amazon.com/s3/storage-classes/glacier/) – Amazon Glacier は、データのアーカイブと長期バックアップ用の、安全で耐久性が高く、非常に低コストのクラウドストレージサービスです。99.999999999% の耐久性を実現し、包括的なセキュリティを提供し、規制要件を満たすように設計されています。Amazon Glacier が提供する query-in-place 機能により、保管中のアーカイブデータに対して強力な分析を直接実行できます。コストを抑えながらさまざまな取り出しニーズに対応できるように、Amazon Glacier では、アーカイブへのアクセスに数分から数時間まで 3 つのオプションを用意しています。
# 将来のセキュリティ機能とカスタムセキュリティ機能
前述のサービスと機能はすべてを網羅しているわけではありません。AWS では新機能が継続的に追加されます。詳細については、「[AWS の最新情報](https://aws.amazon.com/new/)」ページおよび「[AWS クラウドセキュリティ](https://aws.amazon.com/security/)」ページを確認することをお勧めします。AWS がネイティブクラウドサービスとして提供するセキュリティサービスに加えて、AWS サービス上に独自の機能を構築することに関心があるかもしれません。
AWS CloudTrail、Amazon GuardDuty、Amazon Macie など、セキュリティサービスの基本セットをアカウントで有効にすることをお勧めしますが、最終的に、これらの機能を拡張してログアセットからさらなる価値を引き出すことができます。APN セキュリティコンピテンシープログラムに記載されているツールなど、多数の利用可能なパートナーツールがあります。また、独自のクエリを作成してログを検索することもできます。AWS が提供する多数のマネージドサービスにより、今まで以上に簡単に実行できます。Amazon Athena、Amazon OpenSearch Service、Amazon Quick、Amazon Machine Learning、Amazon EMR など、調査に役立つ追加の AWS サービスで、本ホワイトペーパーに記載されていないものも多数存在します。