リファレンスデプロイ

AWS での ISMS-P

コンプライアンス要件に準拠して、ビジネス変革を加速する

このクイックスタートでは、ISMS-P 制御要件を満たすセキュリティサービスや管理サービスを含む、個人情報および情報セキュリティ管理システム (ISMS-P) をデプロイします。さまざまな Amazon Web Services (AWS) のサービスを組み合わせて、一般的な多階層のウェブアプリケーションをサポートする方法を示します。

このクイックスタートは、個人情報保護法および情報通信ネットワークの利用と情報保護の促進に関する法律で義務付けられている、ISMS-P に準拠したクラウドベースのセキュリティインフラストラクチャとサービスを構築する必要のある組織とユーザーを対象としています。

このクイックスタートのソリューションは、できるだけ多くの ISMS-P パッケージコントロールを実装するように設計されていますが、推奨されるすべてのソリューションが含まれているとは限りません。

SK Infosec ロゴ

このクイックスタートは SK Infosec と AWS が共同開発しました。SK Infosec は AWS パートナーです。

  •  構築目標
  •  デプロイ方法
  •  コストとライセンス
  •  構築目標
  • このクイックスタートでは以下のセットアップを行います。

    • 管理および本番稼働用の仮想プライベートネットワーク (VPC) を備えた、マルチサービスのアベイラビリティーゾーン (AZ) アーキテクチャ。
    • 管理 VPC 内:
      • AWS マネージド型 ネットワークアドレス変換 (NAT) ゲートウェイ。プライベートサブネット内のリソースによるパブリックネットワークアクセスを制御します。
      • パブリックサブネット内の踏み台ホスト。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのトラブルシューティングのために、システム管理者が Secure Shell (SSH) を介してアクセスして接続できるようにします。踏み台ホストには Elastic IP アドレス (EIP) が割り当てられます。
    • 本番稼働用 VPC 内:
      • AWS マネージド型 NAT ゲートウェイ。プライベートサブネット内のリソースによるパブリックネットワークアクセスを制御します。
      • ウェブおよびアプリケーションインスタンス。ウェブ層、アプリケーション層、データベース層のパブリックサブネットとプライベートサブネットがあります。
      • マルチ AZ 構成の 冗長 Amazon Relational Database Service (Amazon RDS) データベース。
      • 高可用性を確保するためのウェブインスタンスとアプリケーションインスタンス用の個別 Auto Scaling グループと、Application Load Balancer によるロードバランシングをサポートする 3 層のウェブアプリケーション (WordPress)。
    • Amazon EC2 インスタンス用の標準セキュリティグループ。
    • グループ、ロール、インスタンスプロファイル、およびカスタマイズ可能な IAM ポリシーを含む、デフォルトの AWS Identity and Access Management (IAM) 設定。
    • AWS CloudTrail および Amazon RDS キー暗号化用の AWS Key Management Service (AWS KMS) 。
    • Amazon GuardDuty。外部からの侵入の脅威を特定します。
    • Amazon Simple Notification Service (Amazon SNS) トピックに基づく通知ポリシー。Amazon RDS CPU およびストレージアラームをキャプチャします。
    • AWS Config ルール。セキュリティポリシーとコンプライアンスをモニタリングします。
    • AWS WAF。上位 10 件の Open Web Application Security Project (OWASP) の脆弱性に対して、応答ルール (Core ルール、WordPress、アプリケーション、SQL データベース、PHP アプリケーション) を自動的に作成します。
    • 集中ロギング用の Amazon Simple Storage Service (Amazon S3) バケット。
    • Amazon CloudWatch メトリクスフィルターとアラーム。Amazon RDS の信頼性、可用性、パフォーマンスなど、インフラストラクチャのさまざまな側面をモニタリングします。
    • Amazon CloudWatch アラーム。Amazon SNS トピックをトリガーして、E メール通知を送信します。
    • AWS Systems Manager。Amazon マシンイメージ (AMI) を管理して、最新の状態に保持します。
    • AWS Secrets Manager。データベースのパスワードを作成してローテーションします。
  •  デプロイ方法
  • デプロイガイドの指示に従って、ISMS-P をデプロイします。デプロイプロセスには約 1 時間かかり、次のステップが含まれます。

    1. AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。 
    2. AWS コンソールで CloudFormation テンプレートを選択して、クイックスタートを起動します。 
    3. デプロイをテストします。

    Amazon は、クイックスタートで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

  •  コストとライセンス
  • このクイックスタート実行中に AWS のサービスにかかる費用は、お客様のご負担となります。クイックスタートの使用に対する追加コストは発生しません。

    このクイックスタートでは、ISMS-P をデプロイするためのライセンスは必要ありません。

    このクイックスタートの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、ご利用になる AWS の各サービスの料金ページをご参照ください。料金は変更される場合があります。

    ヒント: クイックスタートをデプロイした後、 AWS Cost and Usage Report を有効にすることをお勧めします。このレポートは、お客様のアカウントの S3 バケットに対する請求メトリクスを提供します。各月の使用量に基づいてコストを見積もり、月末にデータを集計します。レポートの詳細については、 AWS のコストと使用状況レポート とは、を参照してください。