このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について独自に評価する責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。
© 2024 Amazon ウェブサービス, Inc. またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。
この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。
[AWS Cloud Adoption Framework] (https://aws.amazon.com/professional-services/CAF/)
AWS プロフェッショナルサービスは AWS Cloud Adoption Framework (AWS CAF) を作成し、組織がクラウド導入の過程において効率的で効果的な計画を策定し、実行できるように支援しました。 フレームワークが提供するガイダンスとベストプラクティスは、組織全体およびITライフサイクル全体にわたるクラウドコンピューティングに対する包括的なアプローチを構築するのに役立ちます。 AWS CAF を使用すると、クラウドの導入による測定可能なビジネス上のメリットを迅速かつ低リスクで実現できます。
[AWS Security Incident Response Guide Wiki] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
-[AWS Security Incident Response Guide Downloadable] (https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.pdf) このガイドでは、お客様の AWS クラウド環境内のセキュリティインシデントへの対応の基本の概要について説明します。 クラウドセキュリティとインシデントレスポンスの概念の概要に焦点を当て、セキュリティの問題に対応しているお客様が利用できるクラウド機能、サービス、メカニズムを特定します。
このホワイトペーパーは、技術的な役割を担う人々を対象としており、情報セキュリティの一般原則に精通しており、現在のオンプレミス環境におけるインシデント対応に関する基本的な理解を持ち、クラウドサービスに関する知識があることを前提としています。
[AWS Security Reference Architecture (AWS SRA)] (https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
Amazon ウェブサービス(AWS)セキュリティリファレンスアーキテクチャ(AWS SRA)は、マルチアカウント環境で AWS セキュリティサービスの完全な補完をデプロイするための包括的なガイドラインです。 AWS セキュリティサービスが AWS のベストプラクティスに適合するように、AWS セキュリティサービスの設計、実装、管理を支援するために使用できます。 推奨事項は、AWS セキュリティサービスを含む単一ページのアーキテクチャに基づいて構築されています。このアーキテクチャは、セキュリティ目標の達成にどのように役立つのか、AWS アカウントでの最適なデプロイと管理が可能な場所、その他のセキュリティサービスとのやりとりのあり方などです。 この全体的なアーキテクチャガイダンスは、[AWS セキュリティウェブサイト] (https://docs.aws.amazon.com/security/) にあるような、詳細なサービス固有の推奨事項を補完するものです。
[Amazon請求ダッシュボード] (https://console.aws.amazon.com/billing/home #)
[Amazon CloudTrail ダッシュボード] (https://console.aws.amazon.com/cloudtrail)
[Amazon CloudWatch コンソール] (https://console.aws.amazon.com/cloudwatch/)
[Amazon EC2 コンソール] (https://console.aws.amazon.com/ec2/)
[Amazon IAM コンソール] (https://console.aws.amazon.com/iam/)
[Amazon ネットワークマネージャーダッシュボード] (https://console.aws.amazon.com/networkmanager/home)
[Amazonの注文と請求書] (https://console.aws.amazon.com/billing/home?/paymenthistory/)
[Amazon S3 コンソール] (https://console.aws.amazon.com/s3/)
[Amazon RDS コンソール] (https://console.aws.amazon.com/rds/)
[Amazon VPC ダッシュボード] (https://console.aws.amazon.com/vpc/home)
[Amazon WAF & Shield console] (https://console.aws.amazon.com/wafv2/shieldv2)
[Amazon Athena と VPC Flow Logs] (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html)
[Amazon CloudWatch イベント] (https://docs.aws.amazon.com/codepipeline/latest/userguide/create-cloudtrail-S3-source-console.html)
[Amazonコンフィグ] (https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
[AWS API describe-db-instances] (https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)
[AWS API list-buckets] (https://docs.aws.amazon.com/cli/latest/reference/s3api/list-buckets.html)
[AWS Documentation: 予期しない請求の回避] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/checklistforunwantedcharges.html)
[AWS Documentation: Amazon S3 ストレージへのパブリックアクセスをブロックする] (https://aws.amazon.com/s3/features/block-public-access/)
[AWS Documentation: DDoS 可視性] (https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/visibility.html)
[AWS Documentation: ACL による S3 アクセスの管理] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html)
[AWS Documentation: IAM ユーザーのための MFA] (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)
[AWS Documentation: RDS 拡張モニタリング] (https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)
[AWS ドキュメント:AWS Shield Advanced でクレジットをリクエストする] (https://docs.aws.amazon.com/waf/latest/developerguide/request-refund.html)
[AWS Documentation: AWS Shield Documentation] (https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)
[AWS Documentation: AWS Shield Advanced ガイド] (https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html)
[AWS Documentation: すべてのリソースを終了する] (https://aws.amazon.com/premiumsupport/knowledge-center/terminate-resources-account-closure/)
[AWS ドキュメント:S3 バケットでのバージョニングの使用] (https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)
[AWS Documentation: VPC フローログ] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-athena.html)
[必須の RDS 暗号化を強制する] (https://medium.com/@cbchhaya/aws-scp-to-mandate-rds-encryption-6b4dc8b036a)
[ユーザーが S3 ブロックパブリックアクセス設定を変更できないようにする] (https://asecure.cloud/a/scp_s3_block_public_access/)
[AWS Cost Anomaly Detection] (https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-ad.html)
AWS Cost Anomaly Detection は、機械学習を使用してコストと使用量を継続的に監視し、異常な支出を検出する AWS コスト管理機能です。 AWS Cost Anomaly Detection の使用には、次の利点があります。 -集約レポートで個別にアラートを受信します。 アラートは E メールまたは Amazon SNS トピックで受信できます。 -機械学習手法を使用して支出パターンを評価し、誤検知アラートを最小限に抑えます。 たとえば、毎週または毎月の季節性と有機的な成長を評価できます。 -コストの増加を引き起こしているアカウント、サービス、リージョン、使用タイプなど、異常の根本原因を分析し、特定します。 -コストを評価する方法を設定します。 すべての AWS サービスを個別に分析するか、メンバーアカウント、コスト配分タグ、またはコストカテゴリ別に分析するかを選択できます。
[Amazon Git Secrets] (https://github.com/awslabs/git-secrets)
Git Secrets は、マージ、コミット、コミットメッセージをスキャンして、秘密情報 (つまり、アクセスキー) を調べることができます。 Git Secrets は禁止されている正規表現を検出すると、それらのコミットがパブリックリポジトリに投稿されないように拒否できます。
[Amazonインスペクタ] (https://aws.amazon.com/inspector/)
Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスの向上に役立つ自動セキュリティ評価サービスです。 Amazon Inspector は、アプリケーションの露出、脆弱性、ベストプラクティスからの逸脱について自動的に評価します。
[Amazon Macie] (https://aws.amazon.com/macie/)
Amazon Macie は、機械学習とパターンマッチングを使用して AWS の機密データを検出して保護する、完全マネージド型のデータセキュリティおよびデータプライバシーサービスです。 Macie のアラート、または結果を AWS マネジメントコンソールで検索してフィルタリングし、Amazon EventBridge に送信できます。これは、既存のワークフローやイベント管理システムとの統合を容易にするために、以前は Amazon CloudWatch イベントと呼ばれていました。また、AWS Step Functions などの AWS サービスと組み合わせて使用することもできます。自動修復アクションを実行します。
[Amazonセキュリティハブ] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc)
AWS Security Hub では、AWS アカウント全体のセキュリティアラートとセキュリティ体制を包括的に把握できます。 セキュリティハブを使用すると、Amazon GuardDuty、Amazon Amazon Inspector、Amazon Macie、AWS アイデンティティおよびアクセス管理(IAM)アクセスアナライザー、AWS Systems Manager、AWS ファイアウォールなど、複数の AWS サービスからのセキュリティアラートまたは調査結果を集約、整理、優先順位付けする 1 つの場所が用意されました。マネージャー、および AWS パートナーネットワーク (APN) ソリューションから。
[Prowler] (https://github.com/toniblyx/prowler)
Prowler は、AWS のセキュリティ評価、監査、強化、インシデント対応を支援するコマンドラインツールです。 CIS Amazon Web Services Foundations Benchmark(49チェック)のガイドラインに従い、GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2などに関連する100以上の追加のチェックがあります。
[セルフサービスセキュリティ評価] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
Self-Service Security Assessment は、2 つのサブネット、1 つの NAT ゲートウェイ、1 つの Amazon Elastic コンピューティングクラウド(Amazon EC2)インスタンス、および 1 つの Amazon シンプルストレージサービス(Amazon Amazon S3)バケットを含む専用の Amazon 仮想プライベートクラウド(Amazon VPC)を含むシンプルな AWS CloudFormation テンプレートを使用してデプロイされます。 デプロイされると、オープンソースプロジェクト Prowler と ScoutSuite が Amazon EC2 インスタンス内にダウンロードおよびインストールされ、AWS API を使用して AWS アカウントのスキャンを開始し、256 を超えるポイントインタイムチェックを実行します。 このチェックでは、AWS CloudTrail、Amazon CloudWatch、Amazon EC2、Amazon GuardDuty、AWS アイデンティティとアクセス管理(AWS IAM)、Amazon リレーショナルデータベースサービス(Amazon RDS)、Amazon Route 53、Amazon S3 などのサービス全体で現在の AWS 設定を確認し、セキュリティのベストプラクティスに対して評価します。
[AWS RE: INFORCE] (https://reinforce.awsevents.com/faq/)
AWS Re: InForce は、セキュリティ意識とベストプラクティスの向上に役立つクラウドセキュリティ会議です。 AWS の製品とサービスに焦点を当てた技術コンテンツ、AWS セキュリティのリーダーシップを特集した基調講演、クラウドセキュリティとコンプライアンスに関する知識の拡大に役立つ専門家への直接アクセスについては、ぜひご参加ください。