AWS クラウド

クラウドのセキュリティの詳細を確認する »

クラウドセキュリティは AWS の最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすよう構築されたデータセンターとネットワークアーキテクチャを利用できます。

AWS クラウドでは、安全な環境を確保しながら、スケーリングや導入に対応するプラットフォームを実現しています。実際に使用したサービスに対してのみ料金が発生するため、事前の投資なしで必要なセキュリティを確保でき、オンプレミス環境よりもコストを削減できます。

1 年前、私は、クラウド (雲) はブリック (レンガ) のデータセンターほど安全ではないと想定していました。今は、クラウドがより安全でリスクが少ないと確信しています。当社はそれを AWS から得たのです。
Adrian Heeson 氏 運用担当ディレクター
  サービス   製品タイプ
  説明
AWS Artifact コンプライアンス報告 AWS Artifact ポータルでは、AWS のセキュリティやコンプライアンスに関するドキュメントにオンデマンドでアクセスできます。監査アーティファクトとしても知られています。
AWS Certificate Manager SSL/TLS 証明書 AWS Certificate Manager により、Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、およびデプロイを簡単に行えます。
Amazon Cloud Directory ディレクトリ Amazon Cloud Directory では、柔軟性に優れたクラウドネイティブのディレクトリを構築し、複数のディメンションに沿ったデータの階層を編成できます。 
AWS CloudHSM キーの保存と管理 AWS CloudHSM サービスを使用すると、AWS クラウド内の専用ハードウェアセキュリティモジュール (HSM) アプライアンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たすことができます。 
AWS Directory Service ディレクトリ AWS Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory (Enterprise Edition) によって、ディレクトリ対応型ワークロードと AWS リソースで AWS クラウド内のマネージド型の Active Directory を使用できるようになります。
Amazon GuardDuty 脅威の検出 Amazon GuardDuty は管理された脅威検出サービスで、お使いの AWS アカウントとワークロードを継続的にモニターし、保護するためのさらに正確で容易な方法をお届けします。 
AWS Identity and Access Management (IAM) アクセスコントロール AWS Identity and Access Management (IAM) を使用して、ユーザーによる AWS のサービスへのアクセスを制御します。ユーザーとグループを作成し、アクセスの許可や拒否を行います。
Amazon Inspector
セキュリティ評価 Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。
AWS Key Management Service キーの保存と管理 AWS Key Management Service (KMS) は、データの暗号化に使用する暗号化キーの作成や制御を容易にする管理サービスです。
Amazon Macie 機密データの分類 Amazon Macie は、機密データを検出、分類、保護するための機械学習によるセキュリティサービスです。
AWS Organizations 複数のアカウント管理 AWS Organizations では、複数の AWS アカウントをポリシーベースで管理できます。AWS Organizations を使用して、アカウントのグループを作成し、グループにポリシーを適用できます。
AWS Shield DDoS 保護 AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているウェブアプリケーションを保護します。
AWS WAF
Web アプリケーションファイアウォール
AWS WAF は、アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの一般的なウェブの脆弱性から、ウェブアプリケーションを保護する Web アプリケーションファイアウォールです。

AWS Artifact ポータルでは、AWS のセキュリティやコンプライアンスに関するドキュメントにオンデマンドでアクセスできます。監査アーティファクトとしても知られています。監査アーティファクトには、Service Organization Control (SOC)、Payment Card Industry (PCI) レポート、AWS セキュリティ制御の実装と運用の有効性を検証する、さまざまな地域やコンプライアンス垂直市場の認定機関からの認定が含まれます。

AWS Artifact から監査アーティファクトをダウンロードして、AWS のインフラストラクチャとサービスのセキュリティとコンプライアンスを明示し、監査人や規制機関に提出できます。

AWS マネジメントコンソール から AWS Artifact ポータルに直接アクセスできます。


AWS Certificate Manager により、AWS の各種サービスで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、およびデプロイを簡単に行えます。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネットでウェブサイトのアイデンティティを確立するために使用されます。AWS Certificate Manager を使用すれば、SSL/TLS 証明書の購入、アップロード、および更新という時間のかかるプロセスを手動で行う必要がなくなります。AWS Certificate Manager を使えば、証明書のリクエスト、および Elastic Load Balancing や Amazon CloudFront ディストリビューションといった AWS のリソースでの証明書のデプロイを簡単に行うことができます。また、証明書は自動的に更新されます。AWS Certificate Manager でプロビジョニングされた SSL/TLS 証明書は無料です。お支払いいただくのは、アプリケーションを実行するために作成した AWS リソースの料金のみです。

詳細については、AWS Certificate Manager 製品ページを参照してください。


Amazon Cloud Directory では、柔軟性に優れたクラウドネイティブのディレクトリを構築し、複数のディメンションに沿ったデータの階層を編成できます。Cloud Directory を使うと、組織図、コースカタログ、デバイスレジストリなど、さまざまなユースケースのディレクトリを作成できます。Active Directory Lightweight Directory Services (AD LDS) やその他の LDAP ベースのディレクトリなどの従来のディレクトリソリューションでは単一階層に限定されますが、Cloud Directory では複数のディメンションにまたがる階層構造のディレクトリを柔軟に作成できます。例えば、報告体制、所在地、コストセンターの別々の階層内を検索できる組織図を作成できます。

Amazon Cloud Directory では、何億というオブジェクトへのスケールも自動的に行われ、複数のアプリケーション間で共有できる拡張可能なスキーマが利用できます。完全マネージド型サービスのため、Cloud Directory では、インフラストラクチャのスケーリングやサーバーの管理といった、時間や費用のかかる管理タスクが発生しません。単にスキーマを定義し、ディレクトリを作成して、Cloud Directory API を呼び出すことでディレクトリにデータを入力できます。

詳細については、Amazon Cloud Directory 製品ページ 参照してください。


AWS CloudHSM サービスを使用すると、AWS クラウド内の専用ハードウェアセキュリティモジュール(HSM)アプライアンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たすことができます。CloudHSM を使用して、暗号化キーや HSM によって実行される暗号化操作を管理します。

詳細については、AWS CloudHSM 製品ページを参照してください。


AWS Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory (Enterprise Edition) によって、ディレクトリ対応型ワークロードと AWS リソースで AWS クラウド内のマネージド型の Active Directory を使用できるようになります。Microsoft AD サービスは実際の Microsoft Active Directory 上に構築されるので、既存の Active Directory からクラウドにデータを同期化または複製する必要がありません。標準の Active Directory 管理ツールが使用でき、グループポリシー、信頼、シングルサインオンなど組み込みの Active Directory 機能を利用できます。Microsoft AD によって、Amazon EC2 および Amazon RDS for SQL Server インスタンスを簡単にドメインに参加させることができ、Amazon WorkSpaces などの AWS Enterprise IT アプリケーションを Active Directory のユーザーおよびグループで使用できるようになります。

詳細については、AWS Directory Service 製品ページを参照してください。


Amazon GuardDuty は管理された脅威検出サービスで、お使いの AWS アカウントとワークロードを継続的にモニターし、保護するためのさらに正確で容易な方法をお届けします。GuardDuty はほんの数クリックだけで、複数の AWS ログソースからの何 10 億ものイベントを直ちに解析開始します。これは有害な IP やドメインなどの脅威情報のフィードと、機械学習を用いて、より正確に脅威を検出するものです。例えば、GuardDuty はマルウェアまたはマイニングビットコインを配信する、感染した EC2 インスタンスを検出できます。お使いのウェブサーバーに既知のアプリケーションの脆弱性があるか、または通常とは異なる場所からの AWS リソースへのアクセスと言った攻撃を検出できます。また、お使いの AWS アカウントをチェックして、不正なインフラのデプロイや、通常ではない API の呼び出しなどの感染の兆候を探し出します。脅威が検出されると、GuardDuty は詳細なセキュリティアラートをユーザーに発行し、その脅威に対処できるようにします。GuardDutVy では、インテリジェントな脅威の検出と、行動に移せるアラートを、使いやすく、従量制の、クラウド上でのセキュリティサービスとしてお使いいただけます。

詳細については、Amazon GuardDuty 製品ページを参照してください。


AWS Identity and Access Management (IAM) は、お客様の AWS クラウドリソースのアクセス管理サービスです。AWS IAM により、お客様のユーザーによる AWS のサービスとリソースへのアクセスを安全にコントロールすることができます。IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。

詳細については、AWS IAM 製品ページを参照してください。


Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。Amazon Inspector は、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認します。評価が実行された後、重大性の順に結果を表示した詳細なリストが Amazon Inspector によって作成されます。

すぐに利用を開始できるよう、Amazon Inspector には、共通のセキュリティベストプラクティスや脆弱性の定義に対応した、何百ものルールが収められたナレッジベースが備えられています。組み込まれたルールの一例として、リモートルートログインが有効になっているかどうか、脆弱なソフトウェアがインストールされていないかどうかをチェックするものがあります。これらのルールは AWS のセキュリティ研究者によって定期的に更新されます。

詳細については、Amazon Inspector 製品ページを参照してください。


AWS Key Management Service (KMS) は、データの暗号化に使用する暗号化キーを簡単に作成および管理できるマネージド型サービスで、キーのセキュリティを保護するために Hardware Security Modules (HSM) を使用します。AWS Key Management Service は、AWS の他のいくつかのサービスと統合されており、これらのサービスに保存したデータが保護されます。また AWS Key Management Service は AWS CloudTrail とも統合されており、すべてのキーの使用ログを表示できるため、規制およびコンプライアンスの要求に応えるために役立ちます。

詳細については、AWS Key Management Service (KMS) 製品ページを参照してください。


Amazon Macie は、機械学習によって AWS 内の機密データを自動的に検出、分類、保護するセキュリティサービスです。Amazon Macie では、個人情報 (PII) や知的財産などの機密データが認識されます。また、ダッシュボードやアラートが提供されるため、データのアクセスや移動状況を確認できます。この完全マネージドサービスでは、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスの危険や不注意によるデータ漏洩が検出された場合には詳細なアラートが生成されます。現在 Amazon Macie では、Amazon S3 に保存されたデータを保護できます。その他の AWS のデータストアについては今年の後半にサポートされる予定です。

詳細については、Amazon Macie 製品ページを参照してください。


AWS Organizations では、複数の AWS アカウントをポリシーベースで管理できます。AWS Organizations を使用して、アカウントのグループを作成し、グループにポリシーを適用できます。また、カスタムスクリプトや手動処理なしで、複数のアカウントに適用するポリシーを集中管理できます。

AWS Organizations を使用して、複数のアカウントで使用する AWS のサービスを集中管理するための、サービスコントロールポリシー (SCP) を作成できます。API を使用して新しいアカウントの作成を自動化することもできます。AWS Organizations では、一括請求 (コンソリデーティッドビリング) を使用して、組織内のすべてのアカウントに単一の支払い方法を設定し、複数のアカウントに対する請求を簡略化できます。すべての AWS のお客様は、追加料金なしで AWS Organizations を利用できます。

詳細については、AWS Organizations 製品ページを参照してください。


AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているウェブアプリケーションを保護します。AWS Shield ではアプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出と自動インライン緩和策を提供しているため、DDoS 保護のメリットを受けるために AWS サポートに従事する必要はありません。AWS Shield には "Standard" と "Advanced" の 2 つの階層があります。

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard では、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。

詳細については、AWS Shield 製品ページを参照してください。


AWS WAF は、アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの一般的なウェブの脆弱性から、ウェブアプリケーションを保護する Web アプリケーションファイアウォールです。AWS WAF を使用すると、カスタマイズ可能なウェブセキュリティルールを指定することによって、どのトラフィックをウェブアプリケーションに許可またはブロックするかを制御できます。AWS WAF を使用して、SQL インジェクションまたはクロスサイトスクリプトのような一般的な攻撃パターンをブロックするカスタムルールおよび、特定のアプリケーションのために設計されるルールを作成できます。新しいルールは数分以内にデプロイされ、トラフィックパターンの変化にすばやく対応できるようにします。また、AWS WAF にはフル機能の API が含まれています。この API により、ウェブセキュリティルールの作成、デプロイ、メンテナンスを自動化することができます。

詳細については、AWS WAF 製品ページを参照してください。


あらゆる規模の組織は、俊敏性があり、スケーラブルで安全なクラウドインフラストラクチャを実現している AWS にワークロードを移行しています。多くの場合、このようなワークロードには特有のセキュリティニーズがありますが、そのニーズに応じて AWS のセキュリティパートナーがお客様に対応します。AWS のセキュリティは責任共有モデルで、お客様ごとに異なる方法で適用されます。必要な成果を達成するには、パートナーおよび AWS とお客様が連携する必要があります。

インフラストラクチャが成長するにつれて拡張する設計に基づいて、AWS 向けに構築、自動化されたスケーラブルなセキュリティソリューションをデプロイするために、以下の主なセキュリティパートナーは役立ちます。 

主な APN パートナーを見る

feature_380x130_security-compliance
詳細 »