リファレンスデプロイ

AWS での PCI DSS および AWS Foundational Security Best Practices

PCI DSS および AWS Foundational Security Best Practices からの逸脱を修復する自動化されたワークフローをデプロイする

デプロイガイドを表示する

このソリューションは AWS CloudFormation テンプレートを使用して、Payment Card Industry Data Security Standard (PCI DSS) および AWS Foundational Security Best Practices (AWS FSBP) からの逸脱を修正するための自動化されたワークフローをデプロイします。

このデプロイでは、PCI DSS および AWS FSBP コントロールに照らして AWS リソースが AWS Security Hub によって継続的に評価されます。コントロールからの逸脱があれば、AWS CloudWatch ルールおよび AWS Systems Manager ランブックを使用した修復の自動化プロセスが呼び出されます。 Security Hub は、AWS Security Finding Format (ASFF) を使用して、セキュリティチェックの検出結果を処理して優先順位付けします。

AWS のロゴ

このソリューションは AWS によって開発されました。

  •  構築するもの

  • このソリューションでは次を設定します。

    • AWS リソースに対する PCI DSS および AWS FSBP コントロールの自動化された継続的評価による検出結果を収集するための Security Hub。Security Hub 内のカスタムアクションにより、カスタムイベントとして検出結果が CloudWatch に送信されます。*
    • Security Hub からのカスタムイベントを、AWS Lambda 関数をトリガーするルールと突き合わせる CloudWatch。
    • PCI DSS または AWS FSBP コントロールからの逸脱の検出結果について修正するための適切な Systems Manager ランブックを呼び出す AWS Lambda 関数。
    • ランブックに定義されている自動化された修復アクションを実行する Systems Manager。

    *Security Hub の PCI DSS コンプライアンス標準は、継続的な PCI DSS セキュリティアクティビティを支援するように設計されています。システムが PCI DSS 標準に準拠しているかどうかをコントロールによって検証することはできません。内部の作業を置き換えることはできず、また PCI DSS 評価に合格することが保証されることもありません。Security Hub では、手動による証拠収集を必要とする手続き上のコントロールはチェックされません。

    PCI DSS に準拠したアプリケーションの構築および保守に関する具体的なガイダンスは、AWS Security Assurance Services から入手できます。

  •  デプロイ方法

  • デプロイガイドの指示に従って、このソリューションをデプロイします。これにはこれらのステップが含まれます。

    1. AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップし、アカウントにサインインしてください。
    2. ソリューションを起動します。スタックのデプロイには、約 20 分かかります。スタックを作成する前に、上部のツールバーから AWS リージョンを選択します。次のいずれかのオプションを選択してください。
    3. デプロイをテストします。

    Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

    デプロイガイドで詳細を見る
  •  コストとライセンス

  • このソリューションの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。このソリューションを使用しても追加コストは発生しません。

    このソリューションには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。

    ヒント: ソリューションをデプロイした後、 AWS Cost and Usage Report を作成し、関連するコストを追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、 AWS Cost and Usage Report とはを参照してください。