翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ、アイデンティティ、コンプライアンス

AWSは、アプリケーションとワークロードを構築、移行、管理する最も安全なグローバルクラウドインフラストラクチャとなるように設計されています。

各サービスについては、図の後に説明されています。ニーズに最適なサービスを決定する方法については、AWS「セキュリティ、アイデンティティ、ガバナンスサービスの選択」を参照してください。一般的な情報については、「 のセキュリティ、アイデンティティ、コンプライアンスAWS」を参照してください。

AWS のサービスに戻ります。

Amazon Cognito

Amazon Cognito を使用すると、ウェブアプリケーションやモバイルアプリにユーザーのサインアップ、サインイン、アクセスコントロールを迅速かつ簡単に追加できます。Amazon Cognito では、数百万人規模のユーザーに対応するスケーリングが可能で、Apple、Facebook、Twitter、Amazon などのソーシャル ID プロバイダー、SAML 2.0 ID ソリューション、または独自のアイデンティティシステムを使用したサインインをサポートしています。

さらに、Amazon Cognito では、ユーザーのデバイスにローカルでデータを保存するため、デバイスがオフラインの場合でもアプリケーションを動作させることができます。その後ユーザーは、デバイス間でデータを同期でき、使用するデバイスを問わず、一貫したアプリエクスペリエンスを維持できます。

Amazon Cognito を使用すると、ユーザーの管理、認証、デバイス間の同期を行うソリューションの構築、安全性の確保、スケーリングに煩わされることなく、優れたアプリのエクスペリエンスを作成することに集中できます。

Amazon Detective

Amazon Detective を使用すると、潜在的なセキュリティに関する問題や不審なアクティビティの根本的な原因を容易に分析、調査して、迅速に特定できます。Amazon Detective はAWS、リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、リンクされた一連のデータを構築します。これにより、セキュリティ調査を迅速かつ効率的に簡単に実行できます。Amazon Detective は、最大 1,200 アカウントで を使用して、組織内のすべての既存および将来のアカウントにおけるセキュリティオペレーションと調査AWS OrganizationsのAWSアカウント管理をさらに簡素化します。

AWSAmazon GuardDuty、Amazon Macie、 などの セキュリティサービスAWS Security Hub CSPM、およびパートナーセキュリティ製品を使用して、潜在的なセキュリティ問題や検出結果を特定できます。これらのサービスは、AWSデプロイに不正アクセスや不審な動作がいつどこで発生する可能性があるかを警告するのに役立ちます。ただし、セキュリティ検出結果によっては、その原因となったイベントについてより詳細な調査を行い、根本的な原因を修正する必要がある場合もあります。セキュリティ検出結果の根本的な原因の特定は多くの場合、多数のデータソースからログを収集して統合し、抽出、変換、ロード (ETL) ツールやカスタムスクリプトを使用してデータを整理する必要があるため、セキュリティアナリストにとって複雑なプロセスとなる可能性があります。

Amazon Detective は、セキュリティチームが簡単に調査を行い、検出結果の根本的な原因を迅速に特定できるようにすることで、このプロセスを簡素化します。Detective は、Amazon Virtual Private Cloud (VPC) フローログ、Amazon GuardDuty などAWS CloudTrail、複数のデータソースからの何兆ものイベントを分析できます。Detective はこれらのイベントを使用して、リソース、ユーザー、リソースとユーザー間のインタラクションの経時的な変化を統合したインタラクティブなビューを自動的に作成します。この統合されたビューを使用して、すべての詳細とコンテキストを 1 か所で可視化して、検出結果の根本的な理由を特定し、関連する過去のアクティビティを掘り下げ、根本原因をすばやく特定できます。

Amazon Detective は、AWS マネジメントコンソールで数回クリックするだけで使用を開始できます。ソフトウェアをデプロイしたり、データソースを有効にして管理したりする必要はありません。新規アカウントには 30 日間の無料トライアルが提供されており、追加料金なしで Detective を試すことができます。

Amazon GuardDuty

Amazon GuardDuty は、AWS アカウント、ワークロード、Kubernetes クラスター、Amazon Simple Storage Service (Amazon S3) に保存されているデータを保護するために、悪意のあるアクティビティや異常な動作を継続的にモニタリングする脅威検出サービスです。GuardDuty サービスは、異常な API コール、不正なデプロイ、アカウントの偵察や侵害の可能性を示す認証情報の流出などのアクティビティをモニタリングします。

Amazon GuardDuty は、 を数回クリックするだけで有効AWS マネジメントコンソールになりAWS Organizations、サポートにより組織全体で簡単に管理できます。不正使用の兆候がないか、AWSアカウント全体で数十億のイベントをすぐに分析し始めることができます。GuardDuty は、統合された脅威インテリジェンスフィードと機械学習による異常検出を介して、疑わしい攻撃者を特定し、アカウントおよびワークロードのアクティビティにおける異常を検出します。潜在的な不正使用が検出されると、このサービスは、GuardDuty コンソール、Amazon CloudWatch Events、AWS Security Hub CSPM に詳細な検出結果を送信します。これにより、検出結果をすぐに活用でき、既存のイベント管理システムやワークフローシステムに簡単に統合できます。GuardDuty コンソールから直接 Amazon Detective を使用すると、検出結果の根本的な原因を特定するための詳細な調査を簡単に行うことができます。

Amazon GuardDuty はコスト効率に優れ、操作も簡単です。ソフトウェアやセキュリティインフラストラクチャのデプロイや管理は不要なので、既存のアプリケーションやコンテナのワークロードに悪影響を及ぼすことなく、迅速に有効にできます。GuardDuty には初期費用はかからず、ソフトウェアのデプロイや脅威インテリジェンスフィードの有効化も必要ありません。さらに、GuardDuty はスマートフィルターを適用し、脅威検出に関連するログのサブセットのみを分析することでコストを最適化します。新規の Amazon GuardDuty アカウントは、30 日間無料で利用できます。

Amazon Inspector

Amazon Inspector は、ソフトウェアの脆弱性と意図しないネットワークへの露出についてAWSワークロードを継続的にスキャンする新しい自動脆弱性管理サービスです。AWS マネジメントコンソールと を数回クリックするだけでAWS Organizations、Amazon Inspector を組織内のすべてのアカウントで使用できます。Amazon Inspector を起動すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと Amazon Elastic Container Registry (Amazon ECR) のコンテナイメージを、あらゆる規模で自動的に検出し、既知の脆弱性の有無について直ちに評価を開始します。

Amazon Inspector は、Amazon Inspector Classic と比べて多くの点で改善されています。例えば、新しい Amazon Inspector は、共通脆弱性識別子 (CVE) 情報とネットワークアクセスや悪用の可能性などの要素を相互に関連付けることで、検出結果ごとに高度にコンテキスト化されたリスクスコアを計算します。このスコアは、最も重要な脆弱性を優先付けし、修復対応の効率を向上させるために使用できます。さらに、Amazon Inspector は広くデプロイされている AWS Systems Managerエージェント (SSM エージェント) を使用して、スタンドアロンエージェントをデプロイして維持し、Amazon EC2 インスタンス評価を実行する必要がなくなりました。コンテナワークロードの場合、Amazon Inspector は Amazon Elastic Container Registry (Amazon ECR) と統合され、コンテナイメージのインテリジェントでコスト効率に優れた継続的な脆弱性評価をサポートするようになりました。すべての検出結果は Amazon Inspector コンソールに集約され、Amazon EventBridge にルーティングされてプッシュされAWS Security Hub CSPM、チケット発行などのワークフローを自動化します。

Amazon Inspector を初めて使用するすべてのアカウントは、15 日間の無料トライアルの対象となり、サービスを評価してそのコストを見積ることができます。トライアル期間中に Amazon ECR にプッシュされたすべての対象となる Amazon EC2 インスタンスとコンテナイメージは、無料で継続的にスキャンされます。

Amazon Macie

Amazon Macie は、インベントリ評価、機械学習、パターンマッチングを使用して Amazon S3 環境内の機密データとアクセス可能性を検出する、フルマネージドのデータセキュリティおよびデータプライバシーサービスです。Macie は、バケットへの変更を自動的に追跡し、新規または変更されたオブジェクトのみを経時的に評価する、スケーラブルなオンデマンドかつ自動化された機密データ検出ジョブをサポートしています。Macie を使用すると、多くの国やリージョンにおいて、複数のタイプの金融データ、個人医療情報 (PHI)、個人を特定できる情報 (PII)、カスタムタイプなど、膨大な数の機密データタイプを検出できます。Macie は Amazon S3 環境を継続的に評価し、すべてのアカウントの S3 リソースの概要とセキュリティ評価も提供します。バケット名、タグ、暗号化ステータスやパブリックアクセス可能性などのセキュリティコントロールなどのメタデータ変数を使用して、S3 バケットを検索、フィルタリング、並べ替えることができます。暗号化されていないバケット、パブリックにアクセス可能なバケット、または で定義したバケットAWS アカウントの外部で と共有されているバケットについてはAWS Organizations、アクションを警告できます。

マルチアカウント設定では、単一の Macie 管理者アカウントがすべてのメンバーアカウントを管理できます。これには、アカウント間での機密データ検出ジョブの作成と管理が含まれますAWS Organizations。セキュリティと機密データの検出結果は、Macie 管理者アカウントに集約され、Amazon CloudWatch Events と AWS Security Hub CSPM に送信されます。単一のアカウントで、イベント管理、ワークフロー、チケット発行システムと統合したり、Macie の検出結果を AWS Step Functions を使って修復アクションを自動化したりできるようになりました。新規アカウントには、S3 バケットインベントリとバケットレベルの評価のための 30 日間の無料トライアルが提供されており、Macie をすぐに使い始めることができます。機密データの検出は、バケット評価の 30 日間のトライアルには含まれません。

Amazon Security Lake

Amazon Security Lake は、AWS環境、SaaS プロバイダー、オンプレミス、クラウドソースのセキュリティデータを、 に保存されている専用のデータレイクに一元化しますAWS アカウント。Security Lake は、アカウント間のセキュリティデータの収集と管理を自動化AWS リージョンするため、セキュリティデータの制御と所有権を維持しながら、任意の分析ツールを使用できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。

Security Lake は、統合された AWS サービスとサードパーティーサービスからのセキュリティ関連のログとイベントデータの収集を自動化します。カスタマイズ可能な保持設定により、データのライフサイクル管理もサポートします。データレイクは、Amazon S3 バケットを基盤としており、データの所有権はお客様が保持します。Security Lake は、取り込んだデータを Apache Parquet 形式とOCSF (OCSF) と呼ばれる標準のオープンソーススキーマに変換します。OCSF サポートにより、Security Lake は のセキュリティデータと幅広いエンタープライズセキュリティデータソースを正規化AWSし、組み合わせます。

他の AWSサービスやサードパーティーサービスは、インシデント対応やセキュリティデータ分析のために Security Lake に保存されているデータをサブスクライブできます。

Amazon Verified Permissions

Amazon Verified Permissions は、お客様が作成したカスタムアプリケーション向けの、スケーラブルかつきめ細かいアクセス許可管理および認可サービスです。Verified Permissions を利用すると、認可を外部化し、ポリシーの管理と管理を一元化することで、開発者は安全なアプリケーションをより迅速に構築できます。

Verified Permissions は、オープンソースのポリシー言語および SDK である Cedar を使用して、アプリケーションユーザーに対するきめ細かいアクセス許可を定義します。認可モデルは、プリンシパルタイプ、リソースタイプ、有効なアクションを使用して定義でき、特定のアプリケーションコンテキストにおいて、どのユーザーがどのリソースに対してどのようなアクションを実行できるかを制御できます。ポリシーの変更は監査されるため、どのユーザーがいつ変更を行ったかを確認できます。

AWS Artifact

AWS Artifact は、お客様にとって重要なコンプライアンス関連情報の一元的なリソースです。AWS のセキュリティおよびコンプライアンスレポート、厳選されたオンライン契約にオンデマンドでアクセスできます。で利用可能なレポートAWS Artifactには、Service Organization Control (SOC) レポート、Payment Card Industry (PCI) レポート、およびAWSセキュリティコントロールの実装と運用の有効性を検証する地域やコンプライアンスの業種にわたる認証機関からの証明書が含まれます。で利用可能な契約AWS Artifactには、事業提携契約 (BAA) と秘密保持契約 (NDA) が含まれます。

AWS Audit Manager

AWS Audit Manager を使用すると、AWS使用状況を継続的に監査して、リスクと規制や業界標準への準拠を評価する方法を簡素化できます。Audit Manager はエビデンス収集を自動化するため、監査で頻繁に発生する「全員参加」の手作業を削減し、ビジネスの成長に合わせてクラウド上で監査機能をスケールできるようになります。Audit Manager を使用すると、コントロールとも呼ばれる、ポリシー、手順、アクティビティが効果的に運用されているかどうかを簡単に評価できます。監査の時期には、AWS Audit Manager を使用して、コントロールに関するステークホルダーのレビューを管理し、手作業を大幅に削減して監査対応レポートを作成できます。

構築AWS Audit Manager済みのフレームワークは、CIS AWS Foundations Benchmark、一般データ保護規則 (GDPR)、Payment Card Industry Data Security Standard (PCI DSS) などの業界標準または規制の要件にAWSリソースをマッピングすることで、クラウドサービスから監査人にわかりやすいレポートに証拠を変換するのに役立ちます。フレームワークとコントロールは、お客様独自のビジネス要件に合わせて完全にカスタマイズすることもできます。選択したフレームワークに基づいて、Audit Manager は、リソース設定スナップショット、ユーザーアクティビティ、コンプライアンスチェック結果など、AWSアカウントとリソースから関連する証拠を継続的に収集して整理する評価を起動します。

ですぐに開始できますAWS マネジメントコンソール。事前構築済みフレームワークを選択するだけで評価を開始でき、エビデンスの収集と整理は自動的に開始されます。

AWS Certificate Manager

AWS Certificate Manager は、 サービスおよび内部接続リソースで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を簡単にプロビジョニング、管理、デプロイできるAWSサービスです。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネット上のウェブサイトとプライベートネットワーク上のリソースのアイデンティティを確立するために使用されます。 は、SSL/TLS 証明書の購入、アップロード、更新の時間のかかる手動プロセスAWS Certificate Managerを排除します。

を使用するとAWS Certificate Manager、証明書をすばやくリクエストし、ELB、Amazon CloudFront ディストリビューション、API Gateway の APIs などの ACM 統合AWSリソースにデプロイして、 がAWS Certificate Manager証明書の更新を処理できます。内部リソースのプライベート証明書を作成し、証明書のライフサイクルを一元管理することもできます。ACM 統合サービスで使用できるAWS Certificate Managerように でプロビジョニングされたパブリック証明書とプライベート証明書は無料です。料金が発生するのは、アプリケーションを実行するために作成した AWS リソースに対してのみです。

AWS Private Certificate Authorityでは、プライベート認証局 (CA) の運用と発行するプライベート証明書に対して毎月料金が発生します。これにより、独自のプライベート CA を運用するために初期投資や継続的なメンテナンスコストをかけずに、可用性の高いプライベート CA サービスを利用できます。

AWS CloudHSM

AWS CloudHSM は、AWS クラウド上で独自の暗号化キーを簡単に生成して使用できる、クラウドベースのハードウェアセキュリティモジュール (HSM) です。を使用するとAWS CloudHSM、専用の FIPS 140-2 Level 3 検証済み HSMs。PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリなどの業界標準 APIs を使用してアプリケーションとAWS CloudHSM柔軟に統合できます。

AWS CloudHSMは標準に準拠しており、設定に応じて、すべてのキーを他のほとんどの商用 HSMs にエクスポートできます。ハードウェアのプロビジョニング、ソフトウェアのパッチ適用、高可用性、バックアップなど、時間のかかる管理タスクを自動化するフルマネージドサービスです。AWS CloudHSMまた、 では、HSM 容量をオンデマンドで追加および削除することで、前払いコストなしで迅速にスケーリングできます。

AWS Directory Service

AWS Directory Service for Microsoft Active Directory は、別名AWS Managed Microsoft AD、ディレクトリ対応ワークロードと AWS リソースが でマネージド Active Directory を使用できるようにしますAWS クラウド。 AWS Managed Microsoft ADは実際の Microsoft Active Directory 上に構築されており、既存の Active Directory からクラウドにデータを同期またはレプリケートする必要はありません。標準の Active Directory 管理ツールを使用して、グループポリシーやシングルサインオン (SSO) などの組み込み Active Directory 機能を活用できます。を使用するとAWS Managed Microsoft AD、Amazon EC2 と Amazon RDS for SQL Server インスタンスをドメインに簡単に結合し、Amazon WorkSpaces などの AWS Enterprise IT アプリケーションを Active Directory ユーザーとグループとともに使用できます。

AWS Firewall Manager

AWS Firewall Manager は、AWS Organizations 内のアカウントとアプリケーション全体にわたるファイアウォールルールを一元的に設定および管理できるセキュリティ管理サービスです。新しいアプリケーションが作成されると、Firewall Manager は、共通のセキュリティルールセットを適用することで、新しいアプリケーションとリソースのコンプライアンスを容易に確保できるようにします。これにより、中央管理者アカウントからファイアウォールルールを構築し、セキュリティポリシーを作成して、それらをインフラストラクチャ全体にわたって一貫した階層的な方法で適用するための単一のサービスが利用できるようになります。

AWS Identity and Access Management

AWS Identity and Access Management (IAM) を使用すると、AWSユーザーAWS、グループ、ロールのサービスやリソースへのアクセスを安全に制御できます。IAM では、アクセス許可を使用する、きめ細かいアクセスコントロールを作成および管理し、どのサービスとリソースにどのユーザーがどのような条件でアクセスできるかを指定できます。IAM では、以下を実行できます。

AWS Key Management Service

AWS Key Management Service (AWS KMS) を使用すると、暗号化キーを簡単に作成および管理し、さまざまな AWSのサービスやアプリケーションでの使用を制御できます。 は、ハードウェアセキュリティモジュール (HSM) AWS KMSを使用して、FIPS 140-2 暗号化モジュール検証プログラムでAWS KMSキーを保護および検証します。 AWS KMSは とAWS CloudTrail統合されており、規制やコンプライアンスのニーズを満たすために、すべての主要な使用状況のログを提供します。

AWS Network Firewall

AWS Network Firewall は、すべてのAmazon 仮想プライベートクラウド (VPC)に不可欠なネットワーク保護を簡単に導入できる管理サービスです。このサービスは数回クリックするだけで設定でき、ネットワークトラフィックに合わせて自動的にスケールされるため、インフラストラクチャのデプロイや管理について心配する必要はありません。AWS Network Firewall の柔軟なルールエンジンを使用すると、悪意のあるアクティビティの拡散を防ぐためにアウトバウンドの Server Message Block (SMB) リクエストをブロックするなど、ネットワークトラフィックをきめ細かく制御できるファイアウォールルールを定義できます。また、既に一般的なオープンソースルール形式で記述したルールをインポートしたり、AWSPartners.AWS Network Firewallworks と連携したマネージドインテリジェンスフィードとの統合を有効にAWS Firewall Managerしたりして、AWS Network Firewallルールに基づいてポリシーを構築し、VPC VPCs とアカウント全体にそれらのポリシーを一元的に適用したりできます。

AWS Network Firewallには、一般的なネットワーク脅威からの保護を提供する機能が含まれています。AWS Network Firewall ステートフルファイアウォールは、接続の追跡やプロトコル識別などのトラフィックフローのコンテキストを取り込み、VPC が不正なプロトコルを使用してドメインにアクセスできないようにするなどのポリシーを適用できます。AWS Network Firewall侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、署名ベースの検出を使用して脆弱性の悪用を特定およびブロックできます。AWS Network Firewallまた、 は、既知の不正な URLs へのトラフィックを停止し、完全修飾ドメイン名をモニタリングできるウェブフィルタリングも提供します。

Amazon VPC コンソールにアクセスしてファイアウォールルールを作成またはインポートし、ポリシーにグループ化して、保護する VPCs に適用AWS Network Firewallすることで、 を簡単に開始できます。AWS Network Firewall料金は、デプロイされたファイアウォールの数と検査されるトラフィックの量に基づいています。初期費用は不要で、実際に使用した分のみ課金されます。

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) を使用すると、AWS アカウント間、組織内または AWS Organizations の組織単位 (OU) 内、サポートされているリソースタイプの IAM ロール間および IAM ユーザー間で、リソースを安全に共有できます。AWS RAMを使用して、トランジットゲートウェイ、サブネット、AWS License Managerライセンス設定、Amazon Route 53 Resolver ルール、その他のリソースタイプを共有できます。

多くの組織では、管理や請求の分離、エラーの影響の抑制のために複数のアカウントを使用しています。を使用するとAWS RAM、複数のAWSアカウントに重複したリソースを作成する必要はありません。これにより、所有するすべてのアカウントのリソースを管理するという運用上のオーバーヘッドが軽減されます。代わりに、マルチアカウント環境では、リソースを 1 回作成し、 AWS RAMを使用してリソース共有を作成してアカウント間でそのリソースを共有できます。リソース共有を作成するときは、共有するリソースを選択し、リソースタイプごとにAWS RAM管理アクセス許可を選択し、リソースへのアクセスを許可するユーザーを指定します。 AWS RAMは追加料金なしで利用できます。

AWS Secrets Manager

AWS Secrets Manager は、アプリケーション、サービス、および IT リソースへのアクセスに必要なシークレットの保護に役立ちます。このサービスを使用すると、データベースクレデンシャル、APIキー、およびその他のシークレットをライフサイクル全体で簡単にローテーション、管理、および取得できます。ユーザーとアプリケーションは Secrets Manager API を呼び出してシークレットを取得するため、機密情報をプレーンテキストでハードコーディングする必要がなくなります。Secrets Manager には、Amazon RDS、Amazon Redshift、Amazon DocumentDB の統合機能が組み込まれたシークレットローテーションが用意されています。また、このサービスは API キーや OAuth トークンなど、他のタイプのシークレットにも拡張できます。さらに、Secrets Manager では、きめ細かいアクセス許可を使用してシークレットへのアクセスを制御し、AWS クラウド、サードパーティーのサービス、オンプレミスのリソースに関するシークレットローテーションを一元的に監査できます。

AWS Security Hub CSPM

AWS Security Hub CSPM は、AWS リソースに対してセキュリティのベストプラクティスのチェックを自動化し、継続的に実行するクラウドセキュリティ体制管理サービスです。Security Hub CSPM は、さまざまなAWSサービスやパートナー製品からのセキュリティアラート (検出結果) を標準化された形式で集約し、より簡単に対処できるようにします。セキュリティ体制を完全に把握するにはAWS、Amazon GuardDuty からの脅威検出、Amazon Inspector からの脆弱性、Amazon Macie からの機密データ分類、 からのリソース設定の問題、 AWS Partner Network製品などAWS Config、複数のツールとサービスを統合する必要があります。Security Hub CSPM は、AWS Configルールによる自動セキュリティベストプラクティスチェックと、数十の AWSサービスやパートナー製品との自動統合により、セキュリティ体制の理解と改善を簡素化します。

Security Hub CSPM を使用すると、すべてのAWSアカウントの統合されたセキュリティスコアを介して全体的なセキュリティ体制を把握し、 AWSFoundational Security Best Practices (FSBP) 標準やその他のコンプライアンスフレームワークを介してアカウントリソースのセキュリティを自動的に評価できますAWS。また、Security AWSFinding 形式 (ASFF) を使用して、多数のAWSセキュリティサービスと APN 製品のセキュリティ検出結果を 1 つの場所と形式で集約し、自動応答と修復サポートにより平均修復時間 (MTTR) を短縮します。Security Hub CSPM は、チケット発行、チャット、セキュリティ情報とイベント管理 (SIEM)、セキュリティオーケストレーションの自動化と対応 (SOAR)、脅威調査、ガバナンスリスクとコンプライアンス (GRC)、インシデント管理ツールとout-of-the-box統合でき、ユーザーに完全なセキュリティオペレーションワークフローを提供します。

Security Hub CSPM の使用を開始するには、 から数回クリックするだけでAWS マネジメントコンソール、30 日間の無料トライアルを使用して検出結果の集約とセキュリティチェックを開始できます。Security Hub CSPM を と統合AWS Organizationsして、組織内のすべてのアカウントでサービスを自動的に有効にできます。

AWS Shield

AWS Shield は、 で実行されているウェブアプリケーションを保護するマネージド型の分散型サービス拒否 (DDoS) 保護サービスですAWS。 は、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時オンの検出と自動インライン緩和AWS Shieldを提供するため、DDoS 保護のメリットをサポート享受する必要はありません。Standard AWS Shieldと Advanced の 2 つの階層があります。

すべてのAWSお客様は、追加料金なしで AWS ShieldStandard の自動保護を利用できます。 は、ウェブサイトやアプリケーションをターゲットとする最も一般的な頻繁なネットワークおよびトランスポートレイヤー DDoS 攻撃に対してAWS Shield Standard防御します。AWS Shield Standard を Amazon CloudFront や Amazon Route 53 と組み合わせて使用すると、既知のすべてのインフラストラクチャ (レイヤー 3 とレイヤー 4) 攻撃に対して可用性が包括的に保護されます。

Amazon Elastic Compute Cloud (Amazon EC2)、ELB (ELB)、Amazon CloudFront、Amazon Route 53 リソースで実行されているアプリケーションをターゲットとする攻撃に対する保護レベルを高めるには、 にサブスクライブできますAWS Shield Advanced。Standard に付属するネットワークおよびトランスポートレイヤーの保護に加えて、AWS ShieldAdvanced は、大規模で高度な DDoS 攻撃に対する追加の検出と軽減、攻撃に対するほぼリアルタイムの可視性、およびウェブアプリケーションファイアウォールとの統合を提供します。AWS Shield Advanced は、AWS DDoS Response Team (DRT) への 24 時間 365 日アクセス、および Amazon Elastic Compute Cloud (Amazon EC2)、ELB (ELB)AWS WAF、Amazon CloudFront、Amazon Route 53 料金の DDoS 関連のスパイクに対する保護も提供します。

AWS ShieldAdvanced は、すべての Amazon CloudFront および Amazon Route 53 エッジロケーションでグローバルに利用できます。アプリケーションの前に Amazon CloudFront をデプロイすることで、世界中のどこでホストされているウェブアプリケーションも保護できます。オリジンサーバーは、Amazon S3、Amazon Elastic Compute Cloud (Amazon EC2)、ELB (ELB)、または外部のカスタムサーバーですAWS。また、バージニアAWS リージョン北部、オハイオ、オレゴン、北カリフォルニア、モントリオール、サンパウロ、アイルランド、フランクフルト、ロンドン、パリ、ストックホルム、シンガポール、東京、シドニー、ソウル、ムンバイ、ミラノ、ケープタウンの Elastic IP または ELB (ELB) で AWS ShieldAdvanced を直接有効にすることもできます。

AWS IAM アイデンティティセンター

AWS IAM アイデンティティセンター (SSO) は、複数のAWSアカウントやビジネスアプリケーションへの SSO アクセスを一元管理することを容易にするクラウド SSO サービスです。初期投資や継続的なメンテナンスコストをかけずに、わずか数回のクリックで、独自の SSO インフラストラクチャを運用するための高可用性の SSO サービスを有効にできます。IAM アイデンティティセンターを使用すると、AWS Organizations 内のすべてのアカウントへの SSO アクセスとユーザーアクセス許可を一元的に管理できます。IAM アイデンティティセンターは、Salesforce、Box、Microsoft Office 365 などの多くのビジネスアプリケーションへの組み込み SAML 統合も提供します。さらに、IAM アイデンティティセンターのアプリケーション設定ウィザードを使用して、Security Assertion Markup Language (SAML) 2.0 統合を作成し、SAML 対応アプリケーションへの SSO アクセスを拡張できます。ユーザーは、IAM アイデンティティセンターで設定した認証情報、または既存の企業認証情報を使用してユーザーポータルにサインインするだけで、割り当てられたすべてのアカウントとアプリケーションに一元的にアクセスできます。

AWS WAF

AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトやボットからウェブアプリケーションまたは APIs を保護するウェブアプリケーションファイアウォールです。 AWS WAFは、ボットトラフィックを制御し、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できるようにすることで、トラフィックがアプリケーションに到達する方法を制御できるようにします。特定のトラフィックパターンを除外するルールをカスタマイズすることもできます。マネージドルールはAWS WAF、OWASP トップ 10 セキュリティリスクや、過剰なリソースを消費したりメトリクスを歪めたり、ダウンタイムを発生させたりする自動ボットなどの問題に対処するために、 AWSまたは AWS Marketplace販売者が管理する事前設定済みのルールセットです。これらのルールは、新しい問題が発生すると定期的に更新されます。 には、セキュリティルールの作成、デプロイ、メンテナンスを自動化するために使用できるフル機能の API AWS WAFが含まれています。

AWS WAFキャプチャ

AWS WAF Captcha は、ウェブリクエストがAWS WAF保護されたリソースに到達する前にユーザーがチャレンジを正常に完了するように要求することで、不要なボットトラフィックをブロックするのに役立ちます。ログイン、検索、フォーム送信などのボットが頻繁にターゲットとする特定のリソースに対して WAF Captcha チャレンジを解決するようにAWS WAFルールを設定できます。AWS WAFBot Control や Amazon IP Reputation リストなど、 から生成されたレート、属性、ラベルに基づいてAWS マネージドルール、疑わしいリクエストに対して WAF Captcha チャレンジを要求することもできます。WAF Captcha チャレンジは人間にとってはシンプルですが、ボットに対して効果的です。WAF Captcha は、オーディオバージョンも提供し、Web Content Accessability Guidelines (WCAG) のアクセシビリティ要件を満たすように設計されています。

AWS のサービスに戻ります。