AWS Config に北米電力信頼度協議会 NERC CIP BCSI 用の新しい適合パックテンプレートが追加されました

本ブログは、「AWS Config adds new conformance pack template for North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) BES Cyber System Information (BCSI)」を翻訳したものになります。

AWS Config は、大規模電力システム (BES: Bulk Electric System) のサイバーシステム情報 (BCSI: BES Cyber System Information) に AWS を利用する電力事業者が、ポリシー定義から監査、集計レポートまで、共通のフレームワークとパッケージングモデルを用いて、AWS リソースの構成コンプライアンスを効率的に管理できるようにする新しい適合パック（またはコンフォーマンスパック）を提供します。

この NERC (北米電力信頼度協議会) CIP (重要インフラ保護) BCSI 適合パックによる運用ベストプラクティスは、電力事業者に対して CIP-004-7 要件 6 「 BES サイバーシステム情報 (BCSI) のアクセス管理」および CIP-011-3 要件 1 「NERC CIP BCSI の情報保護プログラム」に関連するセキュリティ、およびガバナンスコントロールの監視と評価を提供することを可能にします。2021 年 12 月に FERC は、クラウドサービスなどのサードパーティソリューションを利用する際の要件を明確にする CIP-004 および CIP-011 の改訂を承認しました。

適合パックは、パッケージとして組織全体にグループ化して展開することができる AWS Config ルールと改善修正の動作をまとめたものになります。これは、AWS Organizations の組織内の複数の AWS アカウントにまたがるリソース構成ポリシーとベストプラクティスの共通のベースラインを、スケーラブルかつ効率的な方法で迅速に確立するために特に有用になります。適合パックは、継続的に実行して変更点やルール逸脱した設定を特定することができ、お客様が評価し、修正アクションが必要かどうかを判断することができます。

適合パックには、60 以上の AWS Config ルールが含まれており、データの保管時と転送時の暗号化、データの漏洩防止を含むアクセス制御のベストプラクティス、およびデータ保護制御の実装を確実に行うのに役立ちます。

例えば、データ保護をサポートするために、適合パックは暗号化されていないストレージボリュームや一般に公開されているAmazon Simple Storage Service (Amazon S3) のバケットを識別しています。公益企業の管理者は、Amazon CloudWatch、 および Amazon Simple Notification Service (Amazon SNS) で通知を作成し、適合パックのルールで定義された設定と一致しない環境の変更について、SMS、または電子メールで通知を受け取り、それを評価して改善が必要かどうかを判断することができます。

免責事項：お客様は、様々なガバナンスのためのフレームワークや標準を利用してコンプライアンスの準拠を評価するために、適合パックテンプレート、および、そのテンプレートに含まれる AWS Config ルールと修復アクションを使って、お客様独自の判断基準を定義する責任を負うものとします。適合パックは、AWS Config ルールのマネージドルール、カスタムルール、Automation ドキュメント（訳註： AWS Systems Manager で定義）を使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成するための汎用的なコンプライアンスフレームワークを提供します。

AWS が提供する適合パックのサンプルテンプレートは、お客様の環境ごとで異なる、または追加される設定ルール、入力パラメータ、改善アクションを含む、お客様独自の適合パックを作成する際の手始めとなることを意図しています。コンプライアンス標準や業界ベンチマークに関連するものを含むサンプルテンプレートは、特定のガバナンス基準への準拠を保証するためのものではなく、お客様の社内審査作業に取って代わるものでも、コンプライアンス評価への適合を保証するものでもございません。