設計によるセキュリティ

概要

Amazon-Color-Icon-02

AWS でのセキュリティ、コンプライアンス、およびガバナンスを自動化する

設計によるセキュリティ (SbD) は、AWS アカウントの設計の規格化、セキュリティ制御の自動化、および監査の合理化のためのセキュリティ保証アプローチです。SbD では、セキュリティを遡及的に監査するのではなく、AWS IT 管理プロセス全体にセキュリティ制御が組み込まれます。AWS CloudFormation で SbD テンプレートを使用することにより、クラウド内のセキュリティとコンプライアンスがより効率的かつ発展的なものになります。

SbD では、複数の業界、標準、およびセキュリティ基準にわたる大規模なセキュリティとコンプライアンスを実現するためのアプローチを採用しています。AWS SbD は、セキュリティのあらゆる段階でのセキュリティおよびコンプライアンスの機能を設計するために使用できます。設計の対象は、アクセス権限、ログ記録、信頼関係、暗号化の要求、承認されたマシンイメージの要求といった AWS のお客様の環境内にあるすべてのものです。SbD により、お客様は AWS アカウントのフロントエンド構造を自動化し、AWS アカウントにセキュリティやコンプライアンスを信頼性の高い方法でコーディングし、IT 統制すべてにコンプライアンスを適用することができます。

設計によるセキュリティのアプローチ

SbD では、AWS で稼働する AWS のお客様のインフラストラクチャ、オペレーティングシステム、サービス、アプリケーションに関して、制御の責任、セキュリティベースラインのオートメーション、セキュリティの設定、およびお客様による制御の監査について概説しています。標準化および自動化され、規範的で再現可能なこの設計は、複数の業界やワークロードにわたる一般的なユースケース、セキュリティ基準、および監査要件でデプロイが可能です。

AWS では、以下の 4 段階のアプローチで、AWS アカウントにセキュリティとコンプライアンスを構築することを推奨しています。

フェーズ 1 – お客様の要件を把握する。ポリシーの概略を示し、AWS から引き継ぐ制御を文書化します。次に、AWS 環境内で既に導入および運用している制御を文書化し、AWS の IT 環境内で実施したいセキュリティルールを特定します。

フェーズ 2 – 要件と実装に合致するセキュアな環境を構築する。暗号化の要件 (例えば S3 オブジェクトに対してサーバー側の暗号化を要求する)、リソースへのアクセス許可 (特定の環境に適用するロール)、権限を付与するコンピューティングイメージ (お客様が権限を付与したサーバーの固定化されたイメージに基づく)、および有効にする必要のあるログ記録の種類 (該当するリソースでの CloudTrail 使用の要求など) といった、AWS の設定値という形で要求する設定を定義します。AWS では一連の充実した構成オプション (および随時リリースされる新しいサービス) に加え、お客様の環境をセキュリティ統制に適合させるためのテンプレートを用意しています。これらのセキュリティテンプレート (AWS CloudFormation テンプレートの形で提供) では、体系的に実施できる、包括的なルールセットを利用できます。AWS が開発したテンプレートでは、複数のセキュリティフレームワークに適合するセキュリティルールを利用できます。詳細については、設計によるセキュリティの概要ホワイトペーパーをご覧ください。

セキュアな環境を作成するために、AWS の経験豊かなアーキテクト、AWS プロフェッショナルサービス、AWS パートナーソリューションのサポートを受けることもできます。お客様のスタッフや監査チームは、これらのチームと連携して、サードパーティーの監査に対応する高品質でセキュアな環境を実装できます。

フェーズ 3 – テンプレートの使用を必須とする。AWS Service Catalog を有効にして、カタログ内のお客様のテンプレートを使用することを必須要件とします。このステップでは、作成している新しい環境でお客様のセキュアな環境を使用することを強制し、お客様のセキュアな環境のセキュリティルールに従わない環境を作成できないようにします。カタログ内のテンプレートを使用することを必須にすることで、統制の残りのセキュリティ構成も監査に対応したものになります。

フェーズ 4 – 検証アクティビティを実行する。Service Catalog とセキュアな環境のテンプレートを使って AWS をデプロイすることにより、監査に対応した環境を作成することができます。テンプレートでお客様が定義したルールは、監査のガイドとして使用できます。AWS Config では任意の環境について現在の状況を取得でき、それをお客様のセキュアな環境のルールと比較できます。セキュアな読み取りアクセス許可と一意のスクリプトを使用することにより、監査を自動化して証拠を収集させることができます。お客様は従来の手動管理による統制を、技術的に強制された統制に変換できます。設計と目標が適切であれば、どの時点においても 100% の統制が実施されていることが保証されます。これは、従来のサンプリングによる監査手法や特定タイミングでの監査では不可能なことでした。

この技術監査は、監査前のガイダンスを提供することによって補足できます。具体的には、監査担当者が AWS クラウドの独特な監査オートメーション機能を理解できるよう、お客様の監査人にサポートとトレーニングを提供することができます。

設計によるセキュリティの影響

SbD アプローチにより、以下の点を達成できます。

  • 機能を修正する権限のないユーザーによって上書きされることを防ぐための強制的機能を作成する。
  • 確実な制御の実行。
  • 継続的でリアルタイムな監査の実現。
  • お客様のガバナンスポリシーを技術的にスクリプト化する。

結果として、お客様の環境を自動化して、セキュリティ、保証、ガバナンス、コンプライアンスといった機能を付与することができます。以前はポリシーや標準、規制という形でただ文書化していたことを、信頼性の高い方法で実施できるようになりました。さらに、お客様がセキュリティやコンプライアンスを強制できるようになったことで、AWS 環境の機能的で信頼性の高いガバナンスモデルを作成することも可能になりました。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報を入手しますか?
Twitter でフォローしてください »