セキュリティアーキテクチャの構築 - 段階的なアプローチ - AWS 規範ガイダンス
フェーズ 1: OU とアカウント構造を構築するフェーズ 2: 強力な ID 基盤を実装するフェーズ 3: トレーサビリティを維持するフェーズ 4: すべてのレイヤーにセキュリティを適用するフェーズ 5: 転送中および保管中のデータを保護するフェーズ 6: セキュリティイベントに備える

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティアーキテクチャの構築 - 段階的なアプローチ

簡単な調査を行い、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。

AWS SRA が推奨するマルチアカウントセキュリティアーキテクチャは、設計プロセスの早い段階でセキュリティを挿入するのに役立つベースラインアーキテクチャです。各組織のクラウドジャーニーは一意です。クラウドセキュリティアーキテクチャを正常に進化させるには、希望するターゲットの状態を構想し、現在のクラウドの準備状況を理解し、ギャップを埋めるためのアジャイルアプローチを採用する必要があります。AWS SRA は、セキュリティアーキテクチャのリファレンスターゲット状態を提供します。段階的に変換することで、広範囲にわたる予測を行う必要性を最小限に抑えながら、価値をすばやく実証できます。

AWS クラウド導入フレームワーク (AWS CAF) では、Envision、Align、Launch、Scale の 4 つの反復的および増分的なクラウド変換フェーズを推奨しています。起動フェーズに入り、本稼働環境でのパイロットイニシアチブの提供に重点を置く際には、最もビジネスクリティカルなワークロードを自信を持って移行および運用するための技術的な能力を確保するために、スケールフェーズの基盤として強力なセキュリティアーキテクチャの構築に重点を置く必要があります。この段階的アプローチは、スタートアップ企業、事業を拡大したい中小企業、または新しいビジネスユニットを買収したり、合併や買収を行っている企業に適用されます。AWS SRA は、そのセキュリティベースラインアーキテクチャを実現するのに役立ちます。これにより、AWS Organizations の拡張する組織全体にセキュリティコントロールを均一に適用できます。ベースラインアーキテクチャは、複数の AWS アカウントとサービスで構成されます。計画と実装は、より小さなマイルストーンを繰り返してベースラインセキュリティアーキテクチャを設定するというより大きな目標を達成できるように、複数フェーズのプロセスである必要があります。このセクションでは、構造化されたアプローチに基づくクラウドジャーニーの一般的なフェーズについて説明します。これらのフェーズは、AWS Well-Architected Framework のセキュリティ設計原則と一致しています。

フェーズ 1: OU とアカウント構造を構築する

強力なセキュリティ基盤の前提条件は、適切に設計された AWS の組織とアカウント構造です。このガイドの「SRA 構成要素」セクションで前述したように、複数の AWS アカウントを持つことで、さまざまなビジネス機能とセキュリティ機能を設計的に分離できます。これは最初は不要な作業のように見えるかもしれませんが、迅速かつ安全にスケーリングするための投資です。このセクションでは、AWS Organizations を使用して複数の AWS アカウントを管理する方法と、信頼されたアクセスと委任された管理者機能を使用して、これらの複数のアカウント間で AWS サービスを一元管理する方法についても説明します。

このガイドで前述したように AWS Control Tower を使用してランディングゾーンをオーケストレーションできます。現在 1 つの AWS アカウントを使用している場合は、「複数の AWS アカウントへの移行ガイド」を参照して、できるだけ早く複数のアカウントに移行してください。例えば、スタートアップ企業が現在 1 つの AWS アカウントで製品を考案およびプロトタイプ化している場合は、製品を市場に投入する前にマルチアカウント戦略を採用することを検討する必要があります。同様に、小規模、中規模、エンタープライズの組織は、最初の本番ワークロードを計画したらすぐにマルチアカウント戦略の構築を開始する必要があります。基盤 OUs と AWS アカウントから開始し、ワークロード関連の OUs とアカウントを追加します。

AWS SRA で提供されている以外の AWS アカウントと OU 構造の推奨事項については、ブログ記事「中小企業向けのマルチアカウント戦略」を参照してください。OU とアカウント構造を確定する際は、サービスコントロールポリシー (SCPs。

設計上の考慮事項

  • OU とアカウント構造を設計するときは、会社のレポート構造をレプリケートしないでください。OUs は、ワークロード関数と、ワークロードに適用される一般的な一連のセキュリティコントロールに基づいている必要があります。アカウント構造全体を最初から設計しようとしないでください。基本的な OUs に焦点を当て、必要に応じてワークロード OUs を追加します。OUs 間でアカウントを移動して、設計の初期段階で代替アプローチを試すことができます。ただし、OU とアカウントパスに基づく SCPs と IAM 条件によっては、論理アクセス許可の管理に多少のオーバーヘッドが発生する可能性があります。

実装例

AWS SRA コードライブラリは、アカウント代替連絡先のサンプル実装を提供します。このソリューションは、組織内のすべてのアカウントの請求、オペレーション、およびセキュリティの代替連絡先を設定します。

フェーズ 2: 強力な ID 基盤を実装する

複数の AWS アカウントを作成したらすぐに、それらのアカウント内の AWS リソースへのアクセス権をチームに付与する必要があります。ID 管理には、ワークフォース ID とアクセス管理、カスタマー ID とアクセス管理 (CIAM) の 2 つの一般的なカテゴリがあります。ワークフォース IAM は、従業員と自動化されたワークロードがジョブを実行するために AWS にログインする必要がある組織向けです。CIAM は、組織のアプリケーションへのアクセスを提供するために組織でユーザーを認証する方法が必要な場合に使用されます。チームがアプリケーションを構築して移行できるように、まずワークフォース IAM 戦略が必要です。人間またはマシンユーザーにアクセスを提供するには、IAM ユーザーではなく IAM ロールを常に使用する必要があります。組織管理アカウントと共有サービスアカウント内で AWS IAM アイデンティティセンターを使用して、AWS アカウントへのシングルサインオン (SSO) アクセスを一元管理する方法に関する AWS SRA ガイダンスに従ってください。このガイダンスでは、IAM Identity Center を使用できないときに IAM フェデレーションを使用するための設計上の考慮事項も示しています。

IAM ロールを使用して AWS リソースへのユーザーアクセスを提供する場合は、このガイドのセキュリティツール組織管理セクションで説明されているように、AWS IAM Access Analyzer と IAM アクセスアドバイザーを使用する必要があります。これらのサービスは、最小特権の達成に役立ちます。これは、適切なセキュリティ体制の構築に役立つ重要な予防コントロールです。

設計上の考慮事項

  • 最小特権を実現するには、ID と適切な機能に必要なアクセス許可との関係を定期的に確認および理解するプロセスを設計します。学習したら、これらのアクセス許可を微調整し、最小限のアクセス許可に徐々に減らします。スケーラビリティについては、中央のセキュリティチームとアプリケーションチームの間で責任を共有する必要があります。リソースベースのポリシーアクセス許可の境界属性ベースのアクセスコントロールセッションポリシーなどの機能を使用して、アプリケーション所有者がきめ細かなアクセスコントロールを定義できるようにします。

実装例

AWS SRA コードライブラリには、このフェーズに適用される 2 つのサンプル実装が用意されています。

  • IAM パスワードポリシーは、一般的なコンプライアンス標準に合わせてユーザーのアカウントパスワードポリシーを設定します。

  • Access Analyzer は、委任管理者アカウント内の組織レベルのアナライザーと、各アカウント内のアカウントレベルのアナライザーを設定します。

フェーズ 3: トレーサビリティを維持する

ユーザーが AWS にアクセスして構築を開始すると、誰が何を、いつ、どこで行っているかを知ることができます。また、潜在的なセキュリティ設定ミス、脅威、予期しない動作を可視化することもできます。セキュリティの脅威をよりよく理解することで、適切なセキュリティコントロールに優先順位を付けることができます。AWS アクティビティをモニタリングするには、AWS CloudTrail を使用してログアーカイブアカウント内にログを一元化することで、組織の証跡を設定するための AWS SRA の推奨事項に従ってください。 セキュリティ OU - ログアーカイブアカウントセキュリティイベントのモニタリングには、Security Tooling アカウントセクションの説明に従って、、 AWS Security Hub Amazon GuardDuty、AWS Config、および AWS Security Lake を使用します。

設計上の考慮事項
実装例

AWS SRA コードライブラリには、このフェーズに適用される以下のサンプル実装が用意されています。

  • Organization CloudTrail は組織の証跡を作成し、AWS Control Tower によって設定された CloudTrail の重複を減らすために、データイベント (Amazon S3 や AWS Lambda など) を設定するデフォルトを設定します。このソリューションには、管理イベントを設定するためのオプションが用意されています。

  • AWS Config Control Tower 管理アカウントは、管理アカウントの AWS Config がリソースコンプライアンスをモニタリングできるようにします。

  • Conformance Pack Organization Rules は、組織内のアカウントと指定されたリージョンにコンフォーマンスパックをデプロイします。

  • AWS Config Aggregator は、監査アカウント以外のメンバーアカウントに管理を委任することで、アグリゲータをデプロイします。

  • Security Hub Organization は、組織内のアカウントと管理対象リージョンの委任管理者アカウント内で Security Hub を設定します。

  • GuardDuty Organization は、組織内のアカウントの委任管理者アカウント内で GuardDuty を設定します。

フェーズ 4: すべてのレイヤーにセキュリティを適用する

この時点で、以下が必要です。

  • AWS アカウントに適したセキュリティコントロール。

  • SCPs と最小特権の IAM ロールとポリシーを通じて予防コントロールが定義された、明確に定義されたアカウントと OU 構造。

  • AWS CloudTrail を使用して AWS アクティビティをログに記録する機能、 AWS Security Hub、Amazon GuardDuty、AWS Config を使用してセキュリティイベントを検出する機能、Amazon Security Lake を使用してセキュリティのために専用のデータレイクで高度な分析を実行する機能。

このフェーズでは、「AWS 組織全体にセキュリティサービスを適用する」セクションで説明されているように、AWS 組織の他のレイヤーにセキュリティを適用する計画を立てます。ネットワークアカウントセクションで説明されているように、AWS WAF、AWS Shield、AWS Firewall Manager、AWS Network Firewall、AWS Certificate Manager (ACM)、Amazon CloudFront、Amazon Route 53、Amazon VPC などのサービスを使用して、ネットワークレイヤーのセキュリティコントロールを構築できます。テクノロジースタックを下に移動するときは、ワークロードまたはアプリケーションスタックに固有のセキュリティコントロールを適用します。アプリケーションアカウントセクションで説明されているように、VPC エンドポイント、Amazon Inspector、Amazon Systems Manager、AWS Secrets Manager、Amazon Cognito を使用します。

設計上の考慮事項

  • 多層防御 (DiD) セキュリティコントロールを設計するときは、スケーリング要因を検討してください。中央セキュリティチームには、環境内のすべてのアプリケーションの動作に関する帯域幅や完全な理解はありません。アプリケーションチームに、アプリケーションに適したセキュリティコントロールを特定して設計する責任と説明責任を持たせます。中央セキュリティチームは、アプリケーションチームを可能にするための適切なツールと相談を提供することに集中する必要があります。セキュリティへのシフトレフトアプローチを採用するために AWS が使用するスケーリングメカニズムを理解するには、ブログ記事「AWS がセキュリティ所有権を分散するメカニズムである Security Guardians プログラムを構築した方法」を参照してください。

実装例

AWS SRA コードライブラリには、このフェーズに適用される以下のサンプル実装が用意されています。

  • EC2 Default EBS Encryption は、指定された AWS リージョン内でデフォルトの AWS KMS キーを使用するように、Amazon EC2 のデフォルトの Amazon Elastic Block Store (Amazon EBS) 暗号化を設定します。

  • S3 ブロックアカウントパブリックアクセスは、組織内のアカウントに対して Amazon S3 のアカウントレベルのブロックパブリックアクセス (BPA) 設定を構成します。

  • Firewall Manager は、組織内のアカウントのセキュリティグループポリシーと AWS WAF ポリシーを設定する方法を示します。

  • Inspector Organization は、組織内のアカウントと管理対象リージョンの委任管理者アカウント内で Amazon Inspector を設定します。

フェーズ 5: 転送中および保管中のデータを保護する

ビジネスデータと顧客データは、保護する必要がある貴重なアセットです。AWS は、移動中および保管中のデータを保護するためのさまざまなセキュリティサービスと機能を提供しています。「ネットワークアカウント」セクションで説明されているように、AWS Certificate Manager で AWS CloudFront を使用して、インターネット経由で収集された転送中のデータを保護します。内部ネットワーク内で転送中のデータについては、「アプリケーションアカウント」セクションで説明されているように、AWS Private Certificate Authority で Application Load Balancer を使用します。 ワークロード OU - アプリケーションアカウントAWS KMS と AWS CloudHSM は、保管中のデータを保護するための暗号化キー管理を提供します。

フェーズ 6: セキュリティイベントに備える

IT 環境を運用すると、セキュリティイベントが発生します。これは、セキュリティポリシー違反やセキュリティコントロールの失敗の可能性を示す、IT 環境の日常業務における変更です。セキュリティイベントをできるだけ早く認識するには、適切なトレーサビリティが不可欠です。セキュリティイベントがエスカレートする前に適切なアクションを実行できるように、このようなセキュリティイベントの優先順位付けと対応を準備することも同様に重要です。準備は、セキュリティイベントを迅速にトリアージして、潜在的な影響を理解するのに役立ちます。

AWS SRA は、Security Tooling アカウントの設計とすべての AWS アカウント内での一般的なセキュリティサービスのデプロイを通じて、AWS 組織全体のセキュリティイベントを検出する機能を提供します。Security Tooling アカウント内の AWS Detective は、セキュリティイベントのトリアージと根本原因の特定に役立ちます。セキュリティ調査中、関連するログを確認して、インシデントの全範囲とタイムラインを記録し、理解できる必要があります。特定の目的のアクションが発生したときにアラートを生成するには、ログも必要です。

AWS SRA では、すべてのセキュリティログと運用ログのイミュータブルストレージとして、中央のログアーカイブアカウントを推奨しています。CloudWatch Logs Insights を使用して CloudWatch ロググループに保存されているデータをクエリし、Amazon AthenaAmazon OpenSearch Service を使用して Amazon S3 に保存されているデータをクエリできます。Amazon Security Lake を使用して、AWS 環境、Software as a Service (SaaS) プロバイダー、オンプレミス、その他のクラウドプロバイダーのセキュリティデータを自動的に一元化します。AWS SRA で説明されているように、Security Tooling アカウントまたは任意の専用アカウントにサブスクライバーを設定し、調査のためにそれらのログをクエリします。

設計上の考慮事項

  • クラウドジャーニーの最初からセキュリティイベントを検出して対応するための準備を開始する必要があります。限られたリソースをより有効に活用するには、AWS リソースにデータとビジネス重要度を割り当てます。これにより、セキュリティイベントを検出したときに、関連するリソースの重要度に基づいてトリアージと対応に優先順位を付けることができます。

  • このセクションで説明するように、クラウドセキュリティアーキテクチャを構築するためのフェーズは、本質的に順次です。ただし、次のフェーズを開始する前に、1 つのフェーズが完全に完了するのを待つ必要はありません。クラウドセキュリティ体制の進化に合わせて、複数のフェーズに並行して取り組み、各フェーズを進化させる反復的なアプローチを採用することをお勧めします。さまざまなフェーズを進めると、設計は進化します。次の図に示す推奨シーケンスを特定のニーズに合わせて調整することを検討してください。

クラウドセキュリティアーキテクチャの構築における連続フェーズと反復フェーズ
実装例

AWS SRA コードライブラリは、Detective Organization のサンプル実装を提供します。これは、管理を アカウント (監査やセキュリティツールなど) に委任することで Detective を自動的に有効にし、既存および将来の AWS Organizations アカウント用に Detective を設定します。