設計によるセキュリティについて教えてください
設計によるセキュリティ

設計によるセキュリティ (SbD) は、AWS アカウントの設計の規格化、セキュリティ制御の自動化、および監査の合理化のためのセキュリティ保証アプローチです。SbD では、セキュリティを遡及的に監査するのではなく、AWS IT 管理プロセス全体にセキュリティ制御が組み込まれます。CloudFormation で設計によるセキュリティのテンプレートを使用することにより、クラウド内のセキュリティとコンプライアンスがより効率的かつ発展的なものになります。

SbD では、4 段階のアプローチを使って、複数の業界、標準、およびセキュリティ基準にわたる大規模なセキュリティとコンプライアンスを実現します。AWS SbD では、AWS のお客様の環境内で、アクセス権限、ログ記録、信頼関係、暗号化の要求、承認されたマシンイメージの要求といったすべてのものをお客様が設計できるため、セキュリティのすべての段階でセキュリティやコンプライアンスの機能を設計するのに使用できます。SbD により、お客様は、AWS アカウントのフロントエンド構造を自動化すること、セキュリティやコンプライアンスを AWS アカウントに信頼性の高い方法でコーディングすること、および IT 制御すべてにコンプライアンスを適用することができます。


SbD では、AWS で稼働する AWS のお客様のインフラストラクチャ、オペレーティングシステム、サービス、アプリケーションに関して、制御の責任、セキュリティベースラインのオートメーション、セキュリティの設定、およびお客様による制御の監査について概説しています。標準化および自動化され、規範的で再現可能なこの設計は、複数の業界やワークロードにわたる一般的なユースケース、セキュリティ基準、および監査要件でデプロイできます。

AWS では、以下の 4 段階のアプローチで、AWS アカウントにセキュリティとコンプライアンスを構築することをお勧めしています。

フェーズ 1 – お客様の要件を把握する。 ポリシーの概略を示し、AWS から引き継ぐ制御を文書化します。次に、AWS 環境内ですでに導入および運用している制御を文書化し、AWS の IT 環境内で実施したいセキュリティルールを特定します。

フェーズ 2 – 要件と実装に合致する “安全な環境” を構築する。暗号化の要件 (S3 オブジェクトに対してサーバー側の暗号化を要求する)、リソースへのアクセス許可 (特定の環境に適用するロール)、権限を付与するコンピューティングイメージ (お客様が権限を付与したサーバーの固定化されたイメージに基づく)、および有効にする必要のあるログ記録の種類 (該当するリソースでの CloudTrail 使用の要求など) といった、AWS の設定値という形で要求する設定を定義します。AWS では一連の充実した設定オプション (および、随時リリースされる新しいサービス) が提供され、お客様は、ご自身の環境をセキュリティ制御に適合させるためのテンプレートを利用できます。これらのセキュリティテンプレート (AWS CloudFormation テンプレートの形で提供) では、体系的に実施できる、より包括的なルールセットを利用できます。AWS が開発したテンプレートでは、複数のセキュリティフレームワークに適合するセキュリティルールを利用できます。詳細については、ホワイトペーパー Introduction to Security by Design をご覧ください。

この "安全な環境" を作成するうえでのサポートは、AWS の経験豊かなアーキテクト、AWS のプロフェッショナルサービス、およびパートナーである IT 改革のリーダーからも受けられます。お客様のスタッフや監査チームは、これらのチームと連携して、またサードパーティの監査のサポートを受けて、高品質で安全な環境を実装できます。

フェーズ 3 – テンプレートの使用を要求する。 Service Catalog を有効にして、カタログ内のお客様のテンプレートを使用するように要求します。このステップでは、作成している新しい環境でお客様の "安全な環境" を使用するよう要求し、お客様の "安全な環境" のセキュリティルールに従わない環境を作成できないようにします。これにより、監査の準備を行うために、お客様の残っているアカウントで制御に関するセキュリティ設定を実質的に運用できるようになります。

フェーズ 4 – 検証アクティビティを実行する。 Service Catalog を通じて AWS をデプロイするにあたっては、“安全な環境” テンプレートを使用して監査可能環境を作成すると便利です。テンプレートでお客様が定義したルールは、監査のガイドとして使用できます。AWS Config では任意の環境の現在の状況をキャプチャでき、このキャプチャされた情報をお客様の "安全な環境" ルールと比較できます。これにより、安全な "読み取りアクセス" 許可と独特のスクリプトを使用して監査の証拠を収集できるようになり、監査における証拠の収集がオートメーションされます。お客様は従来の手動管理制御を、技術統制された制御に変換できます。従来のサンプリングによる監査方法または特定のタイミングでの監査と比較して、設計と目標が適切であれば、どの時点であっても制御が 100% 運用されていると保証されます。

この技術監査は、監査担当者が AWS クラウドの独特な監査オートメーション機能を理解できるよう、お客様の監査人にサポートとトレーニングを提供することなど、監査前のガイダンスによって補足できます。

AWS のセキュリティ
AWS クラウドの設計によるセキュリティ

AWS に対する SbD の影響

SbD アプローチにより、以下の点を達成できます。

• 機能の変更を許可されていないユーザーが変更することのできない、強制的な機能を作成する。
• 制御を確実に実行できるようにする。
• 継続的でリアルタイムな監査を実現する。
• お客様のガバナンスポリシーを技術的にスクリプト化する。

結果として、お客様の環境で、セキュリティの保証、ガバナンス、セキュリティ、およびコンプライアンスといった機能を備えた環境の作成を自動化できます。以前はポリシー、標準、および規制に記載されていたことを、信頼性の高い方法で実装できるようになります。さらに、お客様はセキュリティやコンプライアンスを実施できる環境を作成できることになり、これが AWS のお客様の環境にとって機能的で信頼性の高いガバナンスモデルとなります。


ホワイトペーパー

コンセプトについては、設計によるセキュリティのホワイトペーパーでご紹介しています。

Auditing your AWS Architecture」では、自分のペースでトレーニングできます。このトレーニングでは、監査人やセキュリティ制御の所有者が利用できる設定オプションなど、AWS の機能とインターフェイスを体験できます。

お客様が利用できるその他の関連リソースをご覧ください。
a. アマゾン ウェブ サービス: セキュリティプロセスの概要
b. Introduction to Auditing the Use of AWS ホワイトペーパー
c. Federal Financial Institutions Examination Council (FFIEC) – Audit Guide
d. SEC – Cybersecurity Initiative Audit Guide
e. CJIS Security Policy Audit Guide

 

設計によるセキュリティのリソース

 

お問い合わせ