AWS クラウド

クラウドのセキュリティの詳細を確認する »

クラウドセキュリティは AWS の最優先事項です。AWS のお客様は、リスクを最も重視する組織の要件を満たすよう構築されたデータセンターとネットワークアーキテクチャを利用できます。

AWS クラウドでは、安全な環境を確保しながら、スケーリングや導入に対応するプラットフォームを実現しています。実際に使用したサービスに対してのみ料金が発生するため、事前の投資なしで必要なセキュリティを確保でき、オンプレミス環境よりもコストを削減できます。

1 年前、私は、クラウド (雲) はブリック (レンガ) のデータセンターほど安全ではないと想定していました。今は、クラウドがより安全でリスクが少ないと確信しています。当社はそれを AWS から得たのです。
Adrian Heeson 氏 運用担当ディレクター
  サービス   製品タイプ
  説明
AWS Artifact コンプライアンスレポート AWS Artifact ポータルでは、AWS のセキュリティやコンプライアンスに関するドキュメント (監査アーティファクト) にオンデマンドでアクセスできます。
AWS Certificate Manager SSL/TLS 証明書 AWS Certificate Manager により、Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、およびデプロイを簡単に行えます。
Amazon Cloud Directory ディレクトリ Amazon Cloud Directory では、柔軟性に優れたクラウドネイティブのディレクトリを構築し、複数のディメンションに沿ったデータの階層を編成できます。 
AWS CloudHSM キーの保存と管理 AWS CloudHSM サービスを使用すると、AWS クラウド内の専用ハードウェアセキュリティモジュール (HSM) アプライアンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たすことができます。 
Amazon Cognito ユーザーのサインアップ/サインイン Amazon Cognito を使用すれば、ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーサインアップ/サインインおよびアクセスコントロールの機能を追加できます。
AWS Directory Service ディレクトリ AWS Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory (Enterprise Edition) によって、ディレクトリ対応型ワークロードと AWS リソースで AWS クラウド内のマネージド型の Active Directory を使用できるようになります。
AWS Firewall Manager WAF 管理 AWS Firewall Manager は、お客様の複数のアカウントとアプリケーションにわたって一元的に AWS WAF ルールを設定、管理することを容易にするセキュリティ管理サービスです。
Amazon GuardDuty 脅威の検出 Amazon GuardDuty はマネージド型の脅威検出サービスで、お使いの AWS アカウントとワークロードを継続的にモニターし、保護するためのさらに正確で容易な方法をお届けします。 
AWS Identity and Access Management (IAM) アクセスコントロール AWS Identity and Access Management (IAM) を使用して、ユーザーによる AWS のサービスへのアクセスを制御します。ユーザーとグループを作成し、アクセスの許可や拒否を行います。
Amazon Inspector
セキュリティ評価 Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。
AWS Key Management Service キーの保存と管理 AWS Key Management Service (KMS) は、データの暗号化に使用する暗号化キーの作成や制御を容易にするマネージド型サービスです。
Amazon Macie 機密データの分類 Amazon Macie は、機密データを検出、分類、保護するための機械学習によるセキュリティサービスです。
AWS Organizations 複数のアカウント管理 AWS Organizations では、複数の AWS アカウントをポリシーベースで管理できます。AWS Organizations を使用すると、アカウントのグループを作成し、グループにポリシーを適用できます。
AWS Secrets Manager シークレットの管理 AWS Secrets Manager は、データベースの認証情報、API キー、その他のシークレットをそのライフサイクルを通して容易にローテーション、管理、取得できるようにします。
AWS Security Hub セキュリティコンソール AWS Security Hub では、すべての AWS アカウントにおける高優先度のセキュリティアラートとコンプライアンス状況を包括的に確認できます。 
AWS Shield DDoS 保護 AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているウェブアプリケーションを保護します。
AWS Single Sign-On シングルサインオン (SSO) AWS Single Sign-On (SSO) は、複数の AWS アカウントおよびビジネスアプリケーションへの SSO アクセスの一元管理を簡単にするクラウド SSO サービスです。
AWS WAF
ウェブアプリケーションファイアウォール
AWS WAF は、アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの一般的なウェブの脆弱性から、ウェブアプリケーションを保護するウェブアプリケーションファイアウォールです。

AWS Artifact ポータルでは、AWS のセキュリティやコンプライアンスに関するドキュメント (監査アーティファクト) にオンデマンドでアクセスできます。監査アーティファクトには、Service Organization Control (SOC) レポート、Payment Card Industry (PCI) レポート、AWS セキュリティ制御の実装と運用の有効性を検証する、さまざまな地域やコンプライアンス垂直市場の認定機関からの認定が含まれます。

AWS Artifact から監査アーティファクトをダウンロードして、AWS のインフラストラクチャとサービスのセキュリティとコンプライアンスを明示し、監査人や規制機関に提出できます。

詳細については、AWS Artifact 製品ページを参照してください »


AWS Certificate Manager により、AWS の各種サービスで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、およびデプロイを簡単に行えます。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネットでウェブサイトのアイデンティティを確立するために使用されます。AWS Certificate Manager を使用すれば、SSL/TLS 証明書の購入、アップロード、更新という時間のかかるプロセスを手動で行う必要がなくなります。AWS Certificate Manager を使えば、証明書のリクエスト、および Elastic Load Balancing や Amazon CloudFront ディストリビューションといった AWS のリソースでの証明書のデプロイを簡単に行うことができます。また、証明書は自動的に更新されます。AWS Certificate Manager でプロビジョニングされた SSL/TLS 証明書は無料です。お支払いいただくのは、アプリケーションを実行するために作成した AWS リソースの料金のみです。

詳細については、AWS Certificate Manager 製品ページを参照してください »


Amazon Cloud Directory では、柔軟性に優れたクラウドネイティブのディレクトリを構築し、複数のディメンションに沿ったデータの階層を編成できます。Cloud Directory を使うと、組織図、コースカタログ、デバイスレジストリなど、さまざまなユースケースのディレクトリを作成できます。Active Directory Lightweight Directory Services (AD LDS) やその他の LDAP ベースのディレクトリなどの従来のディレクトリソリューションでは単一階層に限定されますが、Cloud Directory では複数のディメンションにまたがる階層構造のディレクトリを柔軟に作成できます。たとえば、報告体制、所在地、コストセンターの別々の階層内を検索できる組織図を作成できます。

Amazon Cloud Directory では、何億というオブジェクトへのスケールも自動的に行われ、複数のアプリケーション間で共有できる拡張可能なスキーマが利用できます。完全マネージド型サービスのため、Cloud Directory では、インフラストラクチャのスケーリングやサーバーの管理といった、時間や費用のかかる管理タスクが発生しません。単にスキーマを定義し、ディレクトリを作成して、Cloud Directory API を呼び出すことでディレクトリにデータを入力できます。

詳細については、Amazon Cloud Directory 製品ページを参照してください »


AWS CloudHSM サービスを使用すると、AWS クラウド内の専用ハードウェアセキュリティモジュール (HSM) アプライアンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たすことができます。CloudHSM を使用して、暗号化キーや HSM によって実行される暗号化操作を管理します。

詳細については、AWS CloudHSM 製品ページを参照してください »


Amazon Cognito を使用すれば、ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追加できます。Cognito は数百万人のユーザーにスケールして、Facebook、Google、Amazon などのソーシャル ID プロバイダを利用したサインインをサポートします。ユーザーはエンタープライズ ID プロバイダーで、SAML 2.0 経由でもサインインできます。

詳細については、Amazon Cognito 製品ページを参照してください »


AWS Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory (Enterprise Edition) によって、ディレクトリ対応型ワークロードと AWS リソースで AWS クラウド内のマネージド型の Active Directory を使用できるようになります。Microsoft AD サービスは実際の Microsoft Active Directory 上に構築されるので、既存の Active Directory からクラウドにデータを同期化または複製する必要がありません。標準の Active Directory 管理ツールが使用でき、グループポリシー、信頼、シングルサインオンなど組み込みの Active Directory 機能を利用できます。Microsoft AD によって、Amazon EC2 および Amazon RDS for SQL Server インスタンスを簡単にドメインに参加させることができ、Amazon WorkSpaces などの AWS Enterprise IT アプリケーションを Active Directory のユーザーおよびグループで使用できるようになります。

詳細については、AWS Directory Service 製品ページを参照してください »


AWS Firewall Manager は、お客様の複数のアカウントとアプリケーションにわたって一元的に AWS WAF ルールを設定、管理することを容易にするセキュリティ管理サービスです。Firewall Manager を使用することで、AWS Organizations の多数のアカウントに横断的に、Application Load Balancer と Amazon CloudFront のディストリビューションに対する AWS WAF ルールを簡単にロールアウトできます。また、新規アプリケーションが作成されるたびに、Firewall Manager は初日から共通のセキュリティルールで新規アプリケーションとリソースが容易にコンプライアンスを満たせるようにします。これで、Application Load Balancer と Amazon CloudFront のインフラストラクチャ全体にわたって一貫性を持ち、階層的にファイアウォールのルールを構築し、セキュリティポリシーを作成し、これらを適用するための単一のサービスを手に入れることができます。

詳細については、AWS Firewall Manager 製品ページを参照してください »


Amazon GuardDuty はマネージド型の脅威検出サービスで、お使いの AWS アカウントとワークロードを継続的にモニターし、保護するためのさらに正確で容易な方法をお届けします。GuardDuty はほんの数クリックだけで、複数の AWS ログソースからの何十億ものイベントを直ちに解析開始します。これは有害な IP やドメインなどの脅威情報のフィードと、機械学習を用いて、より正確に脅威を検出するものです。例えば、GuardDuty では、マルウェアの配信やビットコインのマイニングを行う、感染した EC2 インスタンスを検出できます。お使いのウェブサーバーに既知のアプリケーションの脆弱性があるか、または通常とは異なる場所からの AWS リソースへのアクセスと言った攻撃を検出できます。また、お使いの AWS アカウントをチェックして、不正なインフラストラクチャのデプロイや、通常ではない API コールなどの感染の兆候を探し出します。脅威が検出されると、GuardDuty は詳細なセキュリティアラートをユーザーに発行し、その脅威に対処できるようにします。GuardDuty では、インテリジェントな脅威の検出と、行動に移せるアラートを、使いやすく、従量制の、クラウド上でのセキュリティサービスとして使用できます。

詳細については、Amazon GuardDuty 製品ページを参照してください »


AWS Identity and Access Management (IAM) は、お客様の AWS クラウドリソースのアクセス管理サービスです。AWS IAM により、お客様のユーザーによる AWS のサービスとリソースへのアクセスを安全にコントロールすることができます。IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。

詳細については、AWS IAM 製品ページを参照してください »


Amazon Inspector は自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができます。Amazon Inspector は、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認します。評価の実行後、重大性の順に結果を表示した詳細なリストが Amazon Inspector によって作成されます。

すぐに利用開始できるように、Amazon Inspector には、共通のセキュリティベストプラクティスや脆弱性の定義に対応した、何百ものルールが収められたナレッジベースが備えられています。組み込まれたルールの一例として、リモートルートログインが有効になっているかどうか、または脆弱なソフトウェアがインストールされていないかどうかをチェックするものがあります。これらのルールは AWS のセキュリティ調査担当者が定期的に更新しています。

詳細については、Amazon Inspector 製品ページを参照してください »


AWS Key Management Service (KMS) は、データの暗号化に使用する暗号化キーを簡単に作成および管理できるマネージドサービスで、キーのセキュリティ保護には Hardware Security Modules (HSM) を使用します。AWS Key Management Service は、AWS の他のいくつかのサービスと統合されており、これらのサービスに保存したデータが保護されます。また AWS Key Management Service は AWS CloudTrail とも統合されており、すべてのキーの使用ログを表示できるため、規制およびコンプライアンス準拠に役立ちます。

詳細については、AWS Key Management Service (KMS) 製品ページを参照してください »


Amazon Macie は、機械学習によって AWS 内の機密データを自動的に検出、分類、保護するセキュリティサービスです。Amazon Macie は、個人情報 (PII) や知的財産などの機密データを認識します。このサービスのダッシュボードやアラートで、データのアクセスや移動の状況を確認できます。この完全マネージドサービスでは、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスの危険や不注意によるデータ漏洩が検出された場合には詳細なアラートが生成されます。現在 Amazon Macie では、Amazon S3 に保存されたデータを保護できます。その他の AWS のデータストアについては今年の後半にサポートされる予定です。

詳細については、Amazon Macie 製品ページを参照してください »


AWS Organizations では、複数の AWS アカウントをポリシーベースで管理できます。AWS Organizations を使用すると、アカウントのグループを作成し、グループにポリシーを適用できます。また、カスタムスクリプトや手動処理なしで、複数のアカウントに適用するポリシーを集中管理できます。

AWS Organizations を使用して、複数のアカウントで使用する AWS のサービスを集中管理するための、サービスコントロールポリシー (SCP) を作成できます。API を使用して新しいアカウントの作成を自動化することもできます。Organizations では、一括請求 (コンソリデーティッドビリング) を通じて組織のすべてのアカウントに対する単一の支払い方法をセットアップ可能にして、複数のアカウントに対する請求を簡略化できます。すべての AWS のお客様は、追加料金なしで AWS Organizations を利用できます。

詳細については、AWS Organizations 製品ページを参照してください »


AWS Secrets Manager は、アプリケーション、サービス、IT リソースへのアクセスに必要なシークレットの保護を支援します。このサービスは、データベースの認証情報、API キー、その他のシークレットをそのライフサイクルを通して容易にローテーション、管理、取得できるようにします。ユーザーとアプリケーションはSecrets Manager API を呼び出してシークレットを取得しますので、秘密情報をプレーンテキストでコードに書き込む必要がなくなります。Secrets Manager は Amazon RDS for MySQL、PostgreSQL、Amazon Aurora への統合を組み込むことで、シークレットのローテーションを提供します。また、このサービスは API キーや OAuth トークンと言った他のタイプのシークレットにも使えます。さらに、Secrets Manager は、AWS クラウド、サードパーティーサービス、オンプレミスのリソースに対して中央でのきめ細かいアクセス許可と、シークレットローテーションの監査を用いて、シークレットへのアクセスをお客様がコントロールできるようにします。

詳細については、AWS Secrets Manager 製品ページを参照してください »


AWS Security Hub では、すべての AWS アカウントにおける高優先度のセキュリティアラートとコンプライアンス状況を包括的に確認できます。ファイアウォールとエンドポイントの保護から脆弱性とコンプライアンスに対するスキャナーにいたるまで、幅広い高機能なセキュリティツールを自由に利用できます。しかし、何百、ときに何千ものセキュリティアラートに日々対応するために、チームがこれらのツールを切り替える必要が生じることが多くあります。Security Hub により、複数の AWS のサービス (Amazon GuardDuty、Amazon Inspector、Amazon Macie 等) および AWS パートナーソリューションにおけるセキュリティアラートおよび検出結果を、一元的に集約、整理、優先順位付けできるようになりました。検出結果は、統合されたダッシュボードで実用的なグラフと表を使って視覚的にまとめられます。AWS のベストプラクティスと所属組織が従う業界標準に基づく自動化されたコンプライアンスチェックを使用して、継続的に環境をモニタリングすることもできます。マネジメントコンソールでわずか数クリックするだけで AWS Security Hub を開始できます。有効化されると、Security Hub は検出結果を集約して優先順位を付け始めます。

詳細については、AWS Security Hub 製品ページを参照してください »


AWS Shield は分散サービス妨害 (DDoS) に対するマネージド型保護サービスで、AWS で実行しているウェブアプリケーションを保護します。AWS Shield ではアプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出と自動インライン緩和策を提供しているため、DDoS 保護のメリットを受けるために AWS サポートに従事する必要はありません。AWS Shield にはスタンダードとアドバンストの 2 つの階層があります。

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard は、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。

詳細については、AWS Shield 製品ページを参照してください »


AWS Single Sign-On (SSO) は、複数の AWS アカウントおよびビジネスアプリケーションへの SSO アクセスの一元管理を簡単にするクラウド SSO サービスです。これにより、ユーザーは既存の社内認証情報を使用してユーザーポータルにサインインし、割り当てられたすべてのアカウントとアプリケーションに 1 か所からアクセスできます。AWS SSO では、AWS Organizations のすべてのアカウントへの SSO アクセスとユーザーアクセス権限の一元管理が簡単になります。さらに、AWS SSO アプリケーション設定ウィザードを使用することで、Security Assertion Markup Language (SAML) 2.0 の統合を作成し、SSO アクセスを任意の SAML 対応アプリケーションに拡張できます。また AWS SSO には、Salesforce、Box、Office 365 など多くのビジネスアプリケーションに対する組み込みの SAML 統合が含まれています。わずか数回のクリックで、自社の SSO インフラストラクチャを運用するための先行投資や継続的なメンテナンスに費用をかけることなく、可用性の高い SSO サービスを有効にできます。

詳細については、AWS Single Sign-On 製品ページを参照してください »


AWS WAF は、アプリケーションの可用性の低下、セキュリティ侵害、リソースの過剰消費といった一般的なウェブの脆弱性からウェブアプリケーションを保護するウェブアプリケーションファイアウォールです。AWS WAF では、カスタマイズ可能なウェブセキュリティルールを定義することによって、ウェブアプリケーションに対するどのトラフィックを許可またはブロックするかを制御できます。AWS WAF は、SQL インジェクションまたはクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするカスタムルール、および特定のアプリケーションのために設計されたルールを作成するために使用できます。新しいルールは数分でデプロイできるため、変化するトラフィックパターンにすばやく対応できます。また、AWS WAF には、ウェブセキュリティルールの作成、デプロイメント、およびメンテナンスを自動化するために使用できる、完全な機能を備えた API も含まれています。

詳細については、AWS WAF 製品ページを参照してください »


あらゆる規模の組織は、俊敏性があり、スケーラブルで安全なクラウドインフラストラクチャを実現している AWS にワークロードを移行しています。多くの場合、このようなワークロードには特有のセキュリティニーズがありますが、そのニーズに応じて AWS のセキュリティパートナーがお客様に対応します。AWS のセキュリティは責任共有モデルで、お客様ごとに異なる方法で適用されます。必要な成果を達成するには、パートナーおよび AWS とお客様が連携する必要があります。

インフラストラクチャが成長するにつれて拡張する設計に基づいて、AWS 向けに構築、自動化されたスケーラブルなセキュリティソリューションをデプロイするために、以下の主なセキュリティパートナーは役立ちます。 

主な APN パートナーを見る

feature_380x130_security-compliance
詳細 »