AWS Security, Identity, and Compliance category iconセキュリティ、アイデンティティ、コンプライアンス - アマゾン ウェブ サービスの概要
Amazon CognitoAmazon DetectiveAmazon GuardDutyAmazon InspectorAmazon MacieAmazon Security LakeAmazon Verified PermissionsAWS ArtifactAWS Audit ManagerAWS Certificate ManagerAWS CloudHSMAWS Directory ServiceAWS Firewall ManagerAWS Identity and Access ManagementAWS Key Management ServiceAWS Network FirewallAWS Resource Access ManagerAWS Secrets ManagerAWS Security HubAWS ShieldAWS IAM Identity CenterAWS WAFAWS WAF キャプチャ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Security, Identity, and Compliance category iconセキュリティ、アイデンティティ、コンプライアンス

AWS は、アプリケーションとワークロードを構築、移行、管理する最も安全なグローバルクラウドインフラストラクチャとなるように設計されています。

各サービスは図の後に説明されています。ニーズに最適なサービスを決定する方法については、AWS 「セキュリティ、アイデンティティ、ガバナンスサービスの選択」を参照してください。一般的な情報については、「 のセキュリティ、アイデンティティ、コンプライアンス AWS」を参照してください。

AWS セキュリティ、アイデンティティ、ガバナンスのサービスを示す図

に戻りますAWS サービス

Amazon Cognito

Amazon Cognito を使用すると、ユーザーのサインアップ、サインイン、アクセスコントロールをウェブおよびモバイルアプリに迅速かつ簡単に追加できます。Amazon Cognito を使用すると、数百万のユーザーにスケールし、Apple、Facebook、Twitter、Amazon などのソーシャル ID プロバイダー、SAML 2.0 ID ソリューション、または独自の ID システムを使用したサインインをサポートできます。

さらに、Amazon Cognito を使用すると、ユーザーのデバイスにデータをローカルに保存できるため、デバイスがオフラインの場合でもアプリケーションを動作させることができます。その後、ユーザーのデバイス間でデータを同期して、使用するデバイスに関係なくアプリエクスペリエンスの一貫性を維持できます。

Amazon Cognito を使用すると、ユーザーの管理、認証、デバイス間の同期を行うソリューションの構築、安全性の確保、スケーリングに煩わされることなく、優れたアプリのエクスペリエンスを作成することに集中できます。

Amazon Detective

Amazon Detective を使用すると、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因を簡単に分析、調査、すばやく特定できます。Amazon Detective は AWS 、リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、リンクされた一連のデータを構築します。これにより、セキュリティ調査を迅速かつ効率的に簡単に実行できます。Amazon Detective は、最大 1,200 アカウントで を使用して、組織内のすべての既存および将来のアカウントにおけるセキュリティオペレーションと調査 AWS Organizations の AWS アカウント管理をさらに簡素化します。

AWS Amazon GuardDuty、Amazon Macie、 などの セキュリティサービス AWS Security Hub、およびパートナーセキュリティ製品を使用して、潜在的なセキュリティ問題や検出結果を特定できます。これらのサービスは、 AWS デプロイに不正アクセスや不審な動作がいつどこで発生する可能性があるかを警告するのに役立ちます。ただし、根本原因を修復するために検出結果につながったイベントをより詳細に調査したいセキュリティ検出結果がある場合があります。セキュリティ検出結果の根本原因を特定することは、多くのデータソースからのログの収集と結合、抽出、変換、ロード (ETL) ツールの使用、データを整理するためのカスタムスクリプトなど、多くの場合、セキュリティアナリストにとって複雑なプロセスです。

Amazon Detective は、セキュリティチームが簡単に調査し、検出結果の根本原因にすばやく到達できるようにすることで、このプロセスを簡素化します。Detective は、Amazon Virtual Private Cloud (VPC) フローログ、Amazon GuardDuty など AWS CloudTrail、複数のデータソースからの何兆ものイベントを分析できます。Detective は、これらのイベントを使用して、リソース、ユーザー、およびそれらの間の時間の経過に伴うインタラクションの統合インタラクティブビューを自動的に作成します。この統合ビューを使用すると、すべての詳細とコンテキストを 1 か所で視覚化して、検出結果の根本的な理由を特定し、関連する過去のアクティビティをドリルダウンして、根本原因をすばやく特定できます。

で数回クリックするだけで、Amazon Detective の使用を開始できます AWS Management Console。デプロイするソフトウェアや、有効にして維持するデータソースはありません。Detective は、新しいアカウントで利用できる 30 日間の無料トライアルで、追加料金なしで試すことができます。

Amazon GuardDuty

Amazon GuardDuty は、Amazon Simple Storage Service (Amazon S3) に保存されている AWS アカウント、ワークロード、Kubernetes クラスター、およびデータを保護するために、悪意のあるアクティビティと異常な動作を継続的にモニタリングする脅威検出サービスです。GuardDuty サービスは、異常な API コール、不正なデプロイ、アカウントの偵察や侵害の可能性を示す認証情報の流出などのアクティビティをモニタリングします。

Amazon GuardDuty は、 を数回クリックするだけで有効 AWS Management Console になり AWS Organizations、サポートにより組織全体で簡単に管理できます。不正使用の兆候がないか、 AWS アカウント全体で数十億のイベントの分析をすぐに開始できます。GuardDuty は、統合された脅威インテリジェンスフィードと機械学習の異常検出を通じて疑わしい攻撃者を特定し、アカウントとワークロードのアクティビティの異常を検出します。不正使用の可能性が検出されると、サービスは GuardDuty コンソール、Amazon CloudWatch Events、および に詳細な検出結果を配信します AWS Security Hub。これにより、検出結果は実行可能になり、既存のイベント管理およびワークフローシステムに統合が容易になります。検出結果の根本原因を特定するための詳細な調査は、GuardDuty コンソールから直接 Amazon Detective を使用することで簡単に行うことができます。

Amazon GuardDuty はコスト効率が高く、運用が容易です。ソフトウェアやセキュリティインフラストラクチャをデプロイして維持する必要はありません。つまり、既存のアプリケーションやコンテナのワークロードに悪影響を及ぼすリスクなしに、迅速に有効にすることができます。GuardDuty の前払いコスト、デプロイするソフトウェア、有効にする脅威インテリジェンスフィードはありません。さらに、GuardDuty はスマートフィルターを適用し、脅威検出に関連するログのサブセットのみを分析することでコストを最適化し、新しい Amazon GuardDuty アカウントは 30 日間無料です。

Amazon Inspector

Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークへの露出について AWS ワークロードを継続的にスキャンする新しい自動脆弱性管理サービスです。 AWS Management Console と を数回クリックするだけで AWS Organizations、Amazon Inspector を組織内のすべてのアカウントで使用できます。起動すると、Amazon Inspector は、Amazon Elastic Container Registry (Amazon ECR) に存在する実行中の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとコンテナイメージをあらゆる規模で自動的に検出し、既知の脆弱性の評価をすぐに開始します。

Amazon Inspector はAmazon Inspector Classic よりも多くの改善を実施しました。例えば、新しい Amazon Inspector は、一般的な脆弱性と露出 (CVE) 情報をネットワークアクセスや悪用可能性などの要因と関連付けることで、検出結果ごとに高度にコンテキスト化されたリスクスコアを計算します。このスコアは、修復レスポンスの効率を向上させるために最も重要な脆弱性に優先順位を付けるために使用されます。さらに、Amazon Inspector は広くデプロイされている AWS Systems Manager エージェント (SSM エージェント) を使用して、スタンドアロンエージェントをデプロイして維持し、Amazon EC2 インスタンス評価を実行する必要がなくなりました。コンテナワークロードの場合、Amazon Inspector は Amazon Elastic Container Registry (Amazon ECR) と統合され、コンテナイメージのインテリジェントでコスト効率の高い継続的な脆弱性評価をサポートするようになりました。すべての検出結果は Amazon Inspector コンソールに集約され、Amazon EventBridge にルーティングされてプッシュされ AWS Security Hub、チケット発行などのワークフローを自動化します。

Amazon Inspector を初めて使用するすべてのアカウントは、15 日間の無料トライアルの対象となり、サービスを評価してそのコストを見積もることができます。トライアル中、Amazon ECR にプッシュされた対象となるすべての Amazon EC2 インスタンスとコンテナイメージは、無料で継続的にスキャンされます。

Amazon Macie

Amazon Macie は、インベントリ評価、機械学習、パターンマッチングを使用して Amazon S3 環境内の機密データとアクセシビリティを検出するフルマネージド型のデータセキュリティおよびデータプライバシーサービスです。Macie は、バケットへの変更を自動的に追跡し、時間の経過とともに新規または変更されたオブジェクトのみを評価する、スケーラブルなオンデマンドおよび自動機密データ検出ジョブをサポートしています。Macie を使用すると、複数のタイプの財務データ、個人健康情報 (PHI)、個人を特定できる情報 (PII)、カスタムタイプなど、多くの国や地域の機密データタイプの大規模で増加しているリストを検出できます。Macie は Amazon S3 環境を継続的に評価し、すべてのアカウントで S3 リソースの概要とセキュリティ評価を提供します。S3 バケットは、バケット名、タグ、暗号化ステータスやパブリックアクセシビリティなどのセキュリティコントロールなどのメタデータ変数で検索、フィルタリング、ソートできます。暗号化されていないバケット、パブリックにアクセス可能なバケット、または で定義したバケット AWS アカウント の外部で と共有されているバケットについては AWS Organizations、アクションを警告できます。

マルチアカウント設定では、単一の Macie 管理者アカウントがすべてのメンバーアカウントを管理できます。これには、 アカウント間での機密データ検出ジョブの作成と管理が含まれます AWS Organizations。セキュリティと機密データの検出結果は Macie 管理者アカウントに集約され、Amazon CloudWatch Events および に送信されます AWS Security Hub。1 つのアカウントを使用して、イベント管理、ワークフロー、チケット発行システムと統合したり、 で Macie の検出結果を使用して修復アクション AWS Step Functions を自動化したりできます。S3 バケットインベントリとバケットレベルの評価の新規アカウントで利用できる 30 日間のトライアルを無料で使用して、Macie の使用をすばやく開始できます。機密データ検出は、バケット評価の 30 日間のトライアルに含まれません。

Amazon Security Lake

Amazon Security Lake は、 AWS 環境、SaaS プロバイダー、オンプレミス、クラウドソースのセキュリティデータを、 に保存されている専用のデータレイクに一元化します AWS アカウント。Security Lake は、アカウント間のセキュリティデータの収集と管理を自動化 AWS リージョン するため、セキュリティデータの制御と所有権を維持しながら、任意の分析ツールを使用できます。Security Lake を使用すると、ワークロード、アプリケーション、データの保護を強化することもできます。

Security Lake は、統合 AWS サービスおよびサードパーティーサービスからのセキュリティ関連のログおよびイベントデータの収集を自動化します。また、カスタマイズ可能な保持設定を使用してデータのライフサイクルを管理するのにも役立ちます。データレイクは Amazon S3 バケットによってバックアップされ、ユーザーはデータの所有権を保持します。Security Lake は、取り込んだデータを Apache Parquet 形式とOCSF (OCSF) と呼ばれる標準のオープンソーススキーマに変換します。OCSF サポートにより、Security Lake は からのセキュリティデータと幅広いエンタープライズセキュリティデータソースを正規化 AWS し、組み合わせます。

他の AWS サービスやサードパーティーサービスは、インシデント対応やセキュリティデータ分析のために Security Lake に保存されているデータをサブスクライブできます。

Amazon Verified Permissions

Amazon Verified Permissions は、構築したカスタムアプリケーション用のスケーラブルできめ細かなアクセス許可の管理および認可サービスです。Verified Permissions を利用すると、認可を外部化し、ポリシーの管理と管理を一元化することで、開発者は安全なアプリケーションをより迅速に構築できます。

Verified Permissions は、オープンソースのポリシー言語である Cedar と SDK を使用して、アプリケーションユーザーのきめ細かなアクセス許可を定義します。認可モデルは、プリンシパルタイプ、リソースタイプ、および有効なアクションを使用して定義され、特定のアプリケーションコンテキスト内のどのリソースに対してどのアクションを実行できるかを制御します。ポリシーの変更は監査され、誰がいつ変更を行ったかを確認できます。

AWS Artifact

AWS Artifact は、お客様にとって重要なコンプライアンス関連情報の信頼できる一元的なリソースです。セキュリティおよびコンプライアンスレポートへの AWS オンデマンドアクセスと、一部のオンライン契約を提供します。で利用可能なレポート AWS Artifact には、Service Organization Control (SOC) レポート、Payment Card Industry (PCI) レポート、および AWS セキュリティコントロールの実装と運用の有効性を検証する、地理的およびコンプライアンスの垂直的な認証機関からの証明書が含まれます。で利用可能な契約 AWS Artifact には、事業提携契約 (BAA) と秘密保持契約 (NDA) が含まれます。

AWS Audit Manager

AWS Audit Manager は、 AWS 使用状況を継続的に監査し、リスクと規制や業界標準への準拠を評価する方法を簡素化します。Audit Manager は証拠収集を自動化して、監査で頻繁に発生する「オールハンドオンデッキ」の手動作業を減らし、ビジネスの成長に合わせてクラウドで監査機能を拡張できるようにします。Audit Manager を使用すると、コントロールとも呼ばれるポリシー、手順、アクティビティが効果的に動作しているかどうかを簡単に評価できます。監査の時期になると、 AWS Audit Manager はコントロールのステークホルダーレビューを管理し、手動による労力を大幅に削減して監査対応レポートを構築できます。

構築 AWS Audit Manager 済みのフレームワークは、CIS AWS Foundations Benchmark、一般データ保護規則 (GDPR)、Payment Card Industry Data Security Standard (PCI DSS) などの業界標準または規制の要件に AWS リソースをマッピングすることで、クラウドサービスから監査人にわかりやすいレポートに証拠を変換するのに役立ちます。また、独自のビジネス要件に合わせてフレームワークとそのコントロールを完全にカスタマイズすることもできます。選択したフレームワークに基づいて、Audit Manager は、リソース設定スナップショット、ユーザーアクティビティ、コンプライアンスチェック結果など、 AWS アカウントとリソースから関連する証拠を継続的に収集して整理する評価を起動します。

ですぐに開始できます AWS Management Console。構築済みのフレームワークを選択して評価を開始し、証拠の自動収集と整理を開始するだけです。

AWS Certificate Manager

AWS Certificate Manager は、 サービスおよび内部接続リソースで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を簡単にプロビジョニング、管理、デプロイできる AWS サービスです。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネット上のウェブサイトとプライベートネットワーク上のリソースのアイデンティティを確立するために使用されます。 は、SSL/TLS 証明書を購入、アップロード、更新する時間のかかる手動プロセス AWS Certificate Manager を削除します。

を使用すると AWS Certificate Manager、証明書をすばやくリクエストし、Elastic Load Balancing、Amazon CloudFront ディストリビューション、API Gateway APIs などの ACM 統合 AWS リソースにデプロイして、 が AWS Certificate Manager 証明書の更新を処理できます。また、内部リソースのプライベート証明書を作成し、証明書のライフサイクルを一元管理することもできます。ACM 統合サービスで使用できる AWS Certificate Manager ように でプロビジョニングされたパブリック証明書とプライベート証明書は無料です。アプリケーションを実行するために作成した AWS リソースに対してのみ料金が発生します。

ではAWS Private Certificate Authority、プライベート認証機関 (CA) の運用と発行するプライベート証明書に対して毎月料金を支払います。 の可用性の高いプライベート CA サービスは、独自のプライベート CA を運用するための前払い投資や継続的なメンテナンスコストなしで利用できます。

AWS CloudHSM

AWS CloudHSM は、 で独自の暗号化キーを簡単に生成して使用できるクラウドベースのハードウェアセキュリティモジュール (HSM) です AWS クラウド。を使用すると AWS CloudHSM、専用の FIPS 140-2 Level 3 検証済み HSMsを使用して独自の暗号化キーを管理できます。PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリなどの業界標準 APIs を使用してアプリケーションと AWS CloudHSM 柔軟に統合できます。

AWS CloudHSM は標準に準拠しており、設定に応じて、すべてのキーを他のほとんどの商用 HSMs にエクスポートできます。ハードウェアのプロビジョニング、ソフトウェアのパッチ適用、高可用性、バックアップなど、時間のかかる管理タスクを自動化するフルマネージドサービスです。 AWS CloudHSM また、 では、HSM 容量をオンデマンドで追加および削除することで、前払いコストなしで迅速にスケーリングできます。

AWS Directory Service

AWS Directory Service for Microsoft Active Directory は、別名、ディレクトリ対応ワークロードと AWS リソースが AWS Managed Microsoft ADでマネージド Active Directory を使用できるようにします AWS クラウド。 AWS Managed Microsoft AD は実際の Microsoft Active Directory 上に構築されており、既存の Active Directory からクラウドにデータを同期またはレプリケートする必要はありません。標準の Active Directory 管理ツールを使用して、グループポリシーやシングルサインオン (SSO) などの組み込み Active Directory 機能を活用できます。を使用すると AWS Managed Microsoft AD、Amazon EC2Amazon RDS for SQL Server インスタンスをドメインに簡単に結合し、Amazon WorkSpaces などの AWS Enterprise IT アプリケーションを Active Directory ユーザーとグループとともに使用できます。

AWS Firewall Manager

AWS Firewall Manager は、 のアカウントとアプリケーション全体でファイアウォールルールを一元的に設定および管理できるセキュリティ管理サービスですAWS Organizations。新しいアプリケーションが作成されると、Firewall Manager は、一般的な一連のセキュリティルールを適用することで、新しいアプリケーションとリソースを簡単にコンプライアンスに取り込むことができます。これで、ファイアウォールルールを構築し、セキュリティポリシーを作成し、中央管理者アカウントからインフラストラクチャ全体で一貫した階層的な方法で適用する単一のサービスができました。

AWS Identity and Access Management

AWS Identity and Access Management (IAM) を使用すると、 AWS ユーザー AWS 、グループ、ロールのサービスやリソースへのアクセスを安全に制御できます。IAM を使用すると、アクセス許可を使用してきめ細かなアクセスコントロールを作成および管理し、誰がどのサービスとリソースにアクセスできるか、どの条件でアクセスできるかを指定できます。IAM では、以下を実行できます。

  • AWS IAM Identity CenterIAM Identity Center) でワークフォースユーザーとワークロードの AWS アクセス許可を管理します。IAM Identity Center では、複数の AWS アカウントにわたるユーザーアクセスを管理できます。数回クリックするだけで、高可用性サービスを有効にし、マルチアカウントアクセスとすべてのアカウントに対するアクセス許可をAWS Organizations一元的に簡単に管理できます。IAM Identity Center には、Salesforce、Box、Microsoft Office 365 などの多くのビジネスアプリケーションへの組み込み SAML 統合が含まれています。さらに、Security Assertion Markup Language (SAML) 2.0 統合を作成し、SAML 対応アプリケーションへのシングルサインオンアクセスを拡張できます。ユーザーは、設定した認証情報を使用してユーザーポータルにサインインするか、既存の企業認証情報を使用して、割り当てられたすべてのアカウントとアプリケーションに 1 か所からアクセスするだけです。

  • 単一アカウントの IAM アクセス許可を管理する: アクセス許可を使用して AWS リソースへのアクセスを指定できます。デフォルトでは、IAM エンティティ (ユーザー、グループ、ロール) はアクセス許可なしで開始されます。これらの ID には、アクセスのタイプ、実行できるアクション、およびアクションを実行できるリソースを指定する IAM ポリシーをアタッチすることで、アクセス許可を付与できます。アクセスを許可または拒否するために設定する必要がある条件を指定することもできます。

  • 単一アカウントの IAM ロールを管理する: IAM ロールを使用すると、通常は組織の AWS リソースにアクセスできないユーザーまたはサービスにアクセスを委任できます。IAM ユーザーまたは AWS サービスは、 AWS API コールの実行に使用される一時的なセキュリティ認証情報を取得するロールを引き受けることができます。長期認証情報を共有したり、各 ID のアクセス許可を定義したりする必要はありません。

AWS Key Management Service

AWS Key Management Service (AWS KMS) を使用すると、暗号化キーを簡単に作成および管理し、さまざまな AWS サービスやアプリケーションでの使用を制御できます。 は、ハードウェアセキュリティモジュール (HSM) AWS KMS を使用して、FIPS 140-2 暗号化モジュール検証プログラムで AWS KMS キーを保護して検証します。 AWS KMS は と AWS CloudTrail 統合されており、規制やコンプライアンスのニーズを満たすために、すべての主要な使用状況のログを提供します。

AWS Network Firewall

AWS Network Firewall は、すべてのAmazon 仮想プライベートクラウド (VPC)に不可欠なネットワーク保護を簡単に導入できる管理サービスです。このサービスは数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的にスケーリングされるため、インフラストラクチャのデプロイと管理を心配する必要はありません。AWS Network Firewall の柔軟なルールエンジンを使用すると、アウトバウンドのサーバーメッセージブロック (SMB) リクエストをブロックして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックをきめ細かく制御できるファイアウォールルールを定義できます。また、既に一般的なオープンソースルール形式で記述したルールをインポートしたり、 AWS Partners. AWS Network Firewall works と連携したマネージドインテリジェンスフィードとの統合を有効に AWS Firewall Manager したりして、 AWS Network Firewall ルールに基づいてポリシーを構築し、VPC VPCs とアカウント全体にそれらのポリシーを一元的に適用したりできます。

AWS Network Firewall には、一般的なネットワーク脅威からの保護を提供する機能が含まれています。 AWS Network Firewall ステートフルファイアウォールは、接続の追跡やプロトコル識別などのトラフィックフローのコンテキストを組み込み、VPCs が不正なプロトコルを使用してドメインにアクセスできないようにするなどのポリシーを適用できます。 AWS Network Firewall 侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、署名ベースの検出を使用して脆弱性の悪用を特定およびブロックできます。 AWS Network Firewall また、 は、既知の不正な URLs へのトラフィックを停止し、完全修飾ドメイン名をモニタリングできるウェブフィルタリングも提供します。

Amazon VPC コンソールにアクセスしてファイアウォールルールを作成またはインポートし、ポリシーにグループ化して、保護する VPCs に適用 AWS Network Firewall することで、 の使用を簡単に開始できます。 AWS Network Firewall 料金は、デプロイされたファイアウォールの数と検査されるトラフィックの量に基づいています。前払いのコミットメントはなく、使用した分のみお支払いいただきます。

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) を使用すると、AWS アカウント間、AWS Organizations の組織または組織単位 (OUs) 内、サポートされているリソースタイプの IAM ロールと IAM ユーザーとリソースを安全に共有できます。 AWS RAM を使用して、トランジットゲートウェイ、サブネット、 AWS License Manager ライセンス設定、Amazon Route 53 Resolver ルール、その他のリソースタイプを共有できます。

多くの組織は、複数のアカウントを使用して管理または請求の分離を作成し、エラーの影響を制限します。を使用すると AWS RAM、複数の AWS アカウントに重複したリソースを作成する必要はありません。これにより、所有するすべてのアカウントのリソース管理の運用オーバーヘッドが軽減されます。代わりに、マルチアカウント環境では、リソースを 1 回作成し、 AWS RAM を使用してリソース共有を作成してアカウント間でそのリソースを共有できます。リソース共有を作成するときは、共有するリソースを選択し、リソースタイプごとに AWS RAM 管理アクセス許可を選択し、リソースへのアクセスを許可するユーザーを指定します。 AWS RAM は追加料金なしで利用できます。

AWS Secrets Manager

AWS Secrets Manager は、アプリケーション、サービス、および IT リソースへのアクセスに必要なシークレットの保護に役立ちます。このサービスを使用すると、データベースクレデンシャル、APIキー、およびその他のシークレットをライフサイクル全体で簡単にローテーション、管理、および取得できます。ユーザーとアプリケーションはtoSecrets Manager APIs を呼び出してシークレットを取得するため、機密情報をプレーンテキストでハードコードする必要がなくなります。Secrets Manager には、Amazon RDS、Amazon Redshift、Amazon DocumentDB の統合機能が組み込まれたシークレットローテーションが用意されています。このサービスは、API キーや OAuth トークンなど、他のタイプのシークレットにも拡張できます。さらに、Secrets Manager を使用すると、きめ細かなアクセス許可を使用してシークレットへのアクセスを制御し、 AWS クラウド、、サードパーティーサービス、オンプレミスのリソースのシークレットローテーションを一元的に監査できます。

AWS Security Hub

AWS Security Hub は、 AWS リソースに対して自動化された継続的なセキュリティのベストプラクティスチェックを実行するクラウドセキュリティ体制管理サービスです。Security Hub は、さまざまな AWS サービスやパートナー製品からのセキュリティアラート (検出結果) を標準化された形式で集約し、より簡単に対処できるようにします。セキュリティ体制を完全に把握するには AWS、Amazon GuardDuty からの脅威検出、Amazon Inspector からの脆弱性、Amazon Macie からの機密データ分類、 からのリソース設定の問題、 AWS Partner Network 製品など AWS Config、複数のツールとサービスを統合する必要があります。Security Hub は、 AWS Config ルールによる自動セキュリティベストプラクティスチェックと、数十の AWS サービスやパートナー製品との自動統合により、セキュリティ体制の理解と改善を簡素化します。

Security Hub を使用すると、すべての AWS アカウントの統合されたセキュリティスコアを通じて全体的なセキュリティ体制を把握し、 AWS Foundational Security Best Practices (FSBP) 標準およびその他のコンプライアンスフレームワークを通じてアカウントリソースのセキュリティを自動的に評価できます AWS 。また、Security AWS Finding 形式 (ASFF) を使用して、多数の AWS セキュリティサービスと APN 製品からのセキュリティ検出結果を 1 つの場所と形式で集約し、自動応答と修復サポートにより平均修復時間 (MTTR) を短縮します。Security Hub には、チケット発行、チャット、Security Information and Event Management (SIEM)、Security Orchestration Automation and Response (SOAR)、脅威調査、ガバナンスリスクとコンプライアンス (GRC)、インシデント管理ツールとout-of-the-box統合でき、ユーザーに完全なセキュリティ運用ワークフローを提供します。

Security Hub の使用を開始するには、 から数回クリックするだけで AWS Management Console 、30 日間の無料トライアルを使用して検出結果の集約とセキュリティチェックを開始できます。Security Hub を と統合 AWS Organizations して、組織内のすべてのアカウントでサービスを自動的に有効にできます。

AWS Shield

AWS Shield は、 で実行されているウェブアプリケーションを保護するマネージド型の分散型サービス拒否 (DDoS) 保護サービスです AWS。 は、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時オンの検出と自動インライン緩和 AWS Shield を提供するため、DDoS 保護のメリットを サポート 享受する必要はありません。Standard AWS Shieldと Advanced の 2 つの階層があります。

すべての AWS お客様は、追加料金なしで AWS Shield Standard の自動保護を利用できます。 は、ウェブサイトまたはアプリケーションをターゲットとする最も一般的な、頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃に対して AWS Shield Standard 防御します。Amazon CloudFront および Amazon Route 53 で を使用すると AWS Shield Standard 、すべての既知のインフラストラクチャ (レイヤー 3 および 4) 攻撃に対する包括的な可用性保護が得られます。

Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 リソースで実行されているアプリケーションをターゲットとする攻撃に対する保護レベルを高めるには、 にサブスクライブできます AWS Shield Advanced。Standard に付属するネットワークおよびトランスポートレイヤーの保護に加えて、 AWS Shield Advanced は、大規模で高度な DDoS 攻撃に対する追加の検出と緩和を提供します。 攻撃をほぼリアルタイムで可視化し、 と の統合 AWS WAF、 ウェブアプリケーションファイアウォール。 AWS Shield Advanced は、AWS DDoS Response Team (DRT) への 24 時間 365 日アクセスと、Amazon Elastic Compute Cloud (Amazon EC2) の DDoS 関連のスパイクに対する保護も提供します。 Elastic Load Balancing (ELB) Amazon CloudFront、 および Amazon Route 53 の料金。

AWS Shield Advanced は、すべての Amazon CloudFront および Amazon Route 53 エッジロケーションでグローバルに利用できます。Amazon CloudFront をアプリケーションの前にデプロイすることで、世界中のどこでもホストされているウェブアプリケーションを保護できます。オリジンサーバーは、Amazon S3、Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing (ELB)、または 外のカスタムサーバーです AWS。Advanced は、バージニア AWS リージョン北部、オハイオ、オレゴン、北カリフォルニア、モントリオール、サンパウロ、アイルランド、フランクフルト、ロンドン、パリ、ストックホルム、シンガポール、東京、シドニー、ソウル、ムンバイ、ミラノ、ケープタウンの Elastic IP または AWS Shield Elastic Load Balancing (ELB) で直接有効にすることもできます。

AWS IAM Identity Center

AWS IAM Identity Center (SSO) は、複数の AWS アカウントやビジネスアプリケーションへの SSO アクセスを一元管理することを容易にするクラウド SSO サービスです。数回クリックするだけで、独自の SSO インフラストラクチャを運用するための先行投資や継続的なメンテナンスコストなしで、高可用性の SSO サービスを有効にできます。IAM Identity Center を使用すると、 のすべてのアカウントへの SSO アクセスとユーザーアクセス許可をAWS Organizations一元的に簡単に管理できます。IAM Identity Center には、Salesforce、Box、Microsoft Office 365 などの多くのビジネスアプリケーションへの組み込み SAML 統合も含まれています。さらに、IAM Identity Center アプリケーション設定ウィザードを使用して、Security Assertion Markup Language (SAML) 2.0 統合を作成し、SAML 対応アプリケーションへの SSO アクセスを拡張できます。ユーザーは、IAM Identity Center で設定した認証情報を使用してユーザーポータルにサインインするか、既存の企業認証情報を使用して、割り当てられたすべてのアカウントとアプリケーションに 1 か所からアクセスするだけです。

AWS WAF

AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトやボットからウェブアプリケーションまたは APIs を保護するウェブアプリケーションファイアウォールです。 AWS WAF は、ボットトラフィックを制御し、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できるようにすることで、トラフィックがアプリケーションに到達する方法を制御できるようにします。特定のトラフィックパターンを除外するルールをカスタマイズすることもできます。Managed Rules for は AWS WAF、OWASP トップ 10 セキュリティリスクや、過剰なリソースを消費したりメトリクスを歪めたり、ダウンタイムを発生させたりする自動ボットなどの問題に対処するために、 AWS または AWS Marketplace 販売者が管理する事前設定済みのルールセットです。これらのルールは、新しい問題が発生すると定期的に更新されます。 には、セキュリティルールの作成、デプロイ、メンテナンスを自動化するために使用できるフル機能の API AWS WAF が含まれています。

AWS WAF キャプチャ

AWS WAF Captcha は、ウェブリクエストが AWS WAF 保護されたリソースに到達する前にユーザーがチャレンジを正常に完了するように要求することで、不要なボットトラフィックをブロックするのに役立ちます。ログイン、検索、フォーム送信などのボットが頻繁にターゲットにする特定のリソースに対して WAF Captcha チャレンジを解決するように AWS WAF ルールを設定できます。 AWS WAF Bot Control や Amazon IP Reputation リストなど、 から生成されたレート、属性、ラベルに基づいて AWS マネージドルール、疑わしいリクエストに対して WAF Captcha チャレンジを要求することもできます。WAF Captcha チャレンジは人間にとってシンプルですが、ボットに対して効果的です。WAF Captcha にはオーディオバージョンが含まれており、Web Content Accessability Guidelines (WCAG) のアクセシビリティ要件を満たすように設計されています。

に戻りますAWS サービス