翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS セキュリティ、アイデンティティ、ガバナンスサービスの選択
<a name="choosing-aws-security-services"></a>

**最初のステップを実行する**


|  |  | 
| --- |--- |
|  **読み取り時間**  |  27 分  | 
|  **目的**  |  どの AWS セキュリティ、アイデンティティ、ガバナンスサービスが組織に最適かを判断するのに役立ちます。  | 
|  **最終更新日**  |  2024 年 12 月 30 日  | 
|  **対象サービス**  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)  | 

## 序章
<a name="intro"></a>

クラウドのセキュリティ、アイデンティティ、ガバナンスは、データとサービスの完全性と安全性を達成し、維持するための重要な要素です。これは、Amazon Web Services () などのクラウドプロバイダーに移行する企業が増えるにつれて特に重要ですAWS。

 このガイドは、ニーズと組織に最適な AWS セキュリティ、アイデンティティ、ガバナンスのサービスとツールを選択するのに役立ちます。

 まず、セキュリティ、アイデンティティ、ガバナンスの意味を見てみましょう。
+  [クラウドセキュリティ](https://aws.amazon.com/security/)とは、デジタルアセットを脅威から保護するための対策とプラクティスを使用することです。これには、データセンターの物理的なセキュリティと、オンラインの脅威から保護するためのサイバーセキュリティ対策の両方が含まれます。 は、暗号化されたデータストレージ、ネットワークセキュリティ、潜在的な脅威の継続的なモニタリングを通じてセキュリティを AWS 優先します。
+  [ID](https://aws.amazon.com/identity/) サービスは、スケーラブルな方法で ID、リソース、アクセス許可を安全に管理するのに役立ちます。 は、ワークフォースや顧客向けのアプリケーション、ワークロードやアプリケーションへのアクセスを管理するために設計された ID サービス AWS を提供します。
+  [クラウドガバナンス](https://aws.amazon.com/cloudops/cloud-governance/)は、組織がベストプラクティスに従うための指針となる一連のルール、プロセス、レポートです。 AWS リソース全体でクラウドガバナンスを確立し、組み込みのベストプラクティスと標準を使用し、コンプライアンスと監査プロセスを自動化できます。クラウドでの[コンプライアンス](https://aws.amazon.com/compliance/)とは、データ保護とプライバシーに適用される法律と規制を遵守することです。[AWS コンプライアンスプログラムは](https://aws.amazon.com/compliance/programs/)、 AWS と一致する証明書、規制、フレームワークに関する情報を提供します。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/T4svAhNLNfc/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/T4svAhNLNfc)


## AWS セキュリティ、アイデンティティ、ガバナンスのサービスを理解する
<a name="understand"></a>

### セキュリティとコンプライアンスは責任を共有します
<a name="security-and-compliance-are-shared-responsibilities"></a>

 AWS セキュリティ、アイデンティティ、ガバナンスサービスを選択する前に、セキュリティとコンプライアンスがお客様と [の間で共有されている責任](https://aws.amazon.com/compliance/shared-responsibility-model/)であることを理解することが重要です AWS。

この責任共有の性質により、運用上の負担が軽減され、デプロイを柔軟に制御できます。この責任の区別は、一般的に*「クラウドのセキュリティ*」と呼ばれ、*「クラウドのセキュリティ*」と呼ばれます。

このモデルを理解することで、使用可能なオプションの範囲と、該当する がどのように AWS のサービス 適合するかを理解できます。

### ワークロードの保護に役立つ AWS ツールとサービスを組み合わせることができます。
<a name="you-can-combine-aws-tools-and-services-to-help-safeguard-your-workloads"></a>

![\[セキュリティ、アイデンティティ、ガバナンスの 5 つのドメインには、アイデンティティとアクセスの管理、ネットワークとアプリケーションの保護、データ保護、検出と対応、ガバナンスとコンプライアンスが含まれます。\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/images/security-identity-governance-services.png)


前の図に示すように、 AWS は、クラウドでの堅牢なセキュリティ、ID 管理、ガバナンスの達成と維持に役立つツールとサービスを 5 つのドメインにまたがって提供します。これら 5 つのドメイン AWS のサービス で を使用すると、次のことを行うことができます。
+ データや環境を保護するための多層アプローチを構築する
+ 進化する脅威に対してクラウドインフラストラクチャを強化する
+ 厳格な規制基準に準拠する

 AWS のセキュリティドキュメントを含むセキュリティの詳細については、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/) AWS のサービス」を参照してください。

 以下のセクションでは、各ドメインについて詳しく説明します。

#### AWS ID とアクセス管理サービスを理解する
<a name="identity-and-access-management-2"></a>

 AWS セキュリティの中心にあるのは最小特権の原則です。個人とサービスには必要なアクセスのみがあります。 [AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)は、 AWS リソースへのユーザーアクセスを管理する AWS のサービス ために推奨されます。このサービスを使用して、外部 ID プロバイダーの ID など、アカウントへのアクセスとそれらのアカウント内のアクセス許可を管理できます。

次の表は、このガイドで説明されている ID とアクセスの管理サービスをまとめたものです。

------
#### [ AWS IAM アイデンティティセンター ]

 [AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) は、ID のソースを接続するか、ユーザーを作成するのに役立ちます。複数の AWS アカウント およびアプリケーションへのワークフォースアクセスを一元管理できます。

------
#### [ Amazon Cognito ]

 [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) は、組み込みユーザーディレクトリ、エンタープライズディレクトリ、コンシューマー ID プロバイダーからユーザーを認証および認可するためのウェブおよびモバイルアプリ用の ID ツールを提供します。

------
#### [ AWS RAM ]

 [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) は、リソースを組織全体 AWS アカウント、組織内、IAM ロールおよびユーザーと安全に共有するのに役立ちます。

------
#### [ IAM ]

 [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) を使用すると、 AWS ワークロードリソースへのアクセスを安全かつきめ細かく制御できます。

------

#### AWS データ保護サービスを理解する
<a name="data-protection-2"></a>

データ保護はクラウド上で不可欠であり、データ、アカウント、ワークロードの保護に役立つサービス AWS を提供します。例えば、転送中と保管中の両方のデータを暗号化すると、データを公開から保護するのに役立ちます。[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (AWS KMS) と [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) を使用すると、データを保護するために使用する暗号化キーを作成および制御できます。

次の表は、このガイドで説明されているデータ保護サービスをまとめたものです。

------
#### [ Amazon Macie ]

 [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) は、機械学習とパターンマッチングを使用して機密データを検出し、関連するリスクに対する自動保護を有効にします。

------
#### [ AWS KMS ]

 [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) は、データを保護するために使用する暗号化キーを作成および制御します。

------
#### [ AWS CloudHSM ]

 [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) は、高可用性のクラウドベースのハードウェアセキュリティモジュール (HSMs。

------
#### [ AWS Certificate Manager ]

 [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) は、パブリックおよびプライベート SSL/TLS X.509 証明書とキーの作成、保存、更新の複雑さを処理します。  

------
#### [ AWS Private CA ]

 [AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) は、ルート認証機関と下位認証機関 (CAs) を含むプライベート認証機関階層の作成に役立ちます。

------
#### [ AWS Secrets Manager ]

 [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) は、データベース認証情報、アプリケーション認証情報、OAuth トークン、API キー、およびその他のシークレットを管理、取得、ローテーションするのに役立ちます。

------
#### [ AWS Payment Cryptography ]

 [AWS Payment Cryptography](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/what-is.html) は、支払いカード業界 (PCI) 標準に従って、支払い処理に使用される暗号化機能とキー管理へのアクセスを提供します。

------

#### AWS ネットワークおよびアプリケーション保護サービスを理解する
<a name="network-and-app-protection-2"></a>

AWS は、ネットワークとアプリケーションを保護するための複数のサービスを提供します。 [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)は、分散型サービス拒否 (DDoS) 攻撃に対する保護を提供し、一般的なウェブ悪用攻撃からウェブアプリケーションを保護する[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)のに役立ちます。

次の表は、このガイドで説明されているネットワークとアプリケーションの保護サービスをまとめたものです。

------
#### [ AWS Firewall Manager ]

 [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) は、保護のために複数のアカウントとリソースにわたる管理およびメンテナンスタスクを簡素化します。

------
#### [ AWS Network Firewall ]

 [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) は、VPC でステートフルでマネージド型のネットワークファイアウォールと侵入検知および防止サービスを提供します。

------
#### [ AWS Shield ]

 [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html) は、ネットワーク、トランスポート、アプリケーションレイヤーの AWS リソースに対する DDoS 攻撃に対する保護を提供します。

------
#### [ AWS WAF ]

 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) は、保護されたウェブアプリケーションリソースに転送される HTTP(S) リクエストをモニタリングできるように、ウェブアプリケーションファイアウォールを提供します。

------

#### AWS 検出および対応サービスを理解する
<a name="detection-and-response-2"></a>

AWS には、[マルチアカウント](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)環境を含む環境全体のセキュリティオペレーションを AWS 合理化するのに役立つツールが用意されています。例えば、インテリジェントな脅威検出に [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) を使用し、[Amazon Detective ](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)を使用してログデータを収集することでセキュリティの検出結果を特定および分析できます。 は複数のセキュリティ標準[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)をサポートし、セキュリティアラートとコンプライアンスステータスの概要を提供します AWS アカウント。 は、セキュリティイベントを理解して対応するために不可欠なユーザーアクティビティとアプリケーションプログラミングインターフェイス (API) の使用状況[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)を追跡します。

次の表は、このガイドで説明されている検出とレスポンスのサービスをまとめたものです。

------
#### [ AWS Config ]

 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) は、 の AWS リソースの設定の詳細ビューを提供します AWS アカウント。

------
#### [ AWS CloudTrail ]

 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) は、ユーザー、ロール、または によって実行されたアクションを記録します AWS のサービス。

------
#### [ AWS Security Hub CSPM ]

 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、 のセキュリティ状態の包括的なビューを提供します AWS。

------
#### [ Amazon GuardDuty ]

 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) は AWS アカウント、悪意のあるアクティビティがないか、ワークロード、ランタイムアクティビティ、データを継続的にモニタリングします。

------
#### [ Amazon Inspector ]

 [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) は、ソフトウェアの脆弱性や意図しないネットワークへの露出がないか AWS ワークロードをスキャンします。

------
#### [ Amazon Security Lake ]

 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) は、 AWS 環境、SaaS プロバイダー、オンプレミス環境、クラウドソース、サードパーティーソースのセキュリティデータをデータレイクに自動的に一元化します。

------
#### [ Amazon Detective ]

 [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) を使用すると、セキュリティに関する検出結果や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できます。  

------
#### [ AWS Security Incident Response ]

 [AWS セキュリティインシデント対応](https://docs.aws.amazon.com/security-ir/latest/userguide/what-is.html) 

セキュリティインシデントからの復旧に役立つガイダンスを迅速に準備、対応、受け取るのに役立ちます。  

------

#### AWS ガバナンスおよびコンプライアンスサービスを理解する
<a name="governance-and-compliance-2"></a>

AWS には、セキュリティ、運用、コンプライアンス、およびコスト標準の遵守に役立つツールが用意されています。たとえば、 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)を使用して、規範的なコントロールを使用してマルチアカウント環境を設定および管理できます。を使用すると[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)、組織内の複数のアカウントにポリシーベースの管理を設定できます。

AWS は、コンプライアンスステータスを包括的に把握し、組織が従う AWS ベストプラクティスと業界標準に基づいて自動化されたコンプライアンスチェックを使用して環境を継続的にモニタリングすることもできます。例えば、 [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)はコンプライアンスレポートへのオンデマンドアクセスを提供し、証拠収集[AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)を自動化して、コントロールが効果的に動作しているかどうかをより簡単に評価できるようにします。

次の表は、このガイドで説明されているガバナンスとコンプライアンスのサービスをまとめたものです。

------
#### [ AWS Organizations ]

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立ちます。

------
#### [ AWS Control Tower ]

 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) は、ベストプラクティスに基づく AWS マルチアカウント環境のセットアップと管理に役立ちます。

------
#### [ AWS Artifact ]

 [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) は、 AWS セキュリティおよびコンプライアンスドキュメントのオンデマンドダウンロードを提供します。

------
#### [ AWS Audit Manager ]

 [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) 

 AWS 使用状況を継続的に監査し、リスクとコンプライアンスの評価方法を簡素化するのに役立ちます。

------

## AWS セキュリティ、アイデンティティ、ガバナンスの基準を検討する
<a name="consider"></a>

で適切なセキュリティ、アイデンティティ、ガバナンスサービスを選択するかどうか AWS は、特定の要件とユースケースによって異なります。[AWS セキュリティサービスの導入を決定する](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-evaluating-security-service/introduction.html)と、セキュリティ、アイデンティティ、ガバナンス AWS のサービス の採用が組織に適しているかどうかを判断するのに役立つ決定木が提供されます。さらに、使用するサービスを決定する際に考慮すべき基準をいくつか示します。

------
#### [ Security requirements and threat landscape ]

組織**固有の脆弱性と脅威**を包括的に評価します。これには、個人情報、財務記録、専有ビジネスデータなど、処理するデータの種類を特定することが含まれます。それぞれに関連する潜在的なリスクを理解します。

アプリケーションとインフラストラクチャの**アーキテクチャ**を評価します。アプリケーションが公開されているかどうか、およびそれらが処理するウェブトラフィックの種類を決定します。これは、ウェブの悪用から保護 AWS WAF するための などのサービスの必要性に影響します。内部アプリケーションの場合、異常なアクセスパターンや不正なデプロイを特定できる Amazon GuardDuty による内部脅威検出と継続的なモニタリングの重要性を考慮してください。

最後に、**既存のセキュリティ体制**の洗練とセキュリティチームの専門知識を検討してください。チームのリソースが限られている場合、より多くの自動化と統合を提供するサービスを選択すると、チームを圧倒することなく、効果的なセキュリティ強化を実現できます。サービスの例としては、DDoS 保護 AWS Shield 用の や、一元化されたセキュリティモニタリング AWS Security Hub CSPM 用の などがあります。

------
#### [ Compliance and regulatory requirements ]

[一般データ保護規則](https://aws.amazon.com/compliance/gdpr-center/) (GDPR)、[1996 年の米国の医療保険の相互運用性と説明責任に関する法律](https://aws.amazon.com/compliance/hipaa-compliance/) (HIPAA)、[Payment Card Industry Data Security Standard](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) (PCI DSS) など、業界または地域**に関連する法律と基準**を特定します。

AWS は、さまざまな標準への準拠を管理するのに役立つ AWS Config や AWS Artifact などのサービスを提供します。を使用すると AWS Config、 AWS リソースの設定を評価、監査、評価できるため、社内ポリシーや規制要件への準拠が容易になります。 AWS Artifact は AWS コンプライアンスドキュメントへのオンデマンドアクセスを提供し、監査とコンプライアンスレポートに役立ちます。

特定のコンプライアンスニーズに合ったサービスを選択すると、組織が法的要件を満たし、データに対して安全で信頼できる環境を構築するのに役立ちます。詳細については[AWS 、コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)を参照してください。

------
#### [ Scalability and flexibility ]

組織の成長とスピードを考慮してください。セキュリティ対策 AWS のサービス がインフラストラクチャとシームレスに成長し、進化する脅威に適応するのに役立つ を選択します。

**迅速なスケーリング**を支援するために、 は AWS Organizations や IAM Identity Center など[AWS のサービス](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html)、他のいくつかの の機能 AWS Control Tower を調整して、1 AWS 時間以内にランディングゾーンを構築します。Control Tower は、ユーザーに代わってリソースを設定および管理します。

AWS は、脅威の検出やウェブアプリケーションの保護のために Amazon GuardDuty など、アプリケーションのトラフィックと使用パターンに合わせて**自動的にスケーリング** AWS WAF する多くの サービスを設計します。ビジネスがスケールアップすると、これらのサービスは、手動による調整やボトルネックを発生させることなく、それに合わせてスケールされます。

さらに、ビジネス要件や脅威の状況に合わせて**セキュリティコントロールをカスタマイズ**できることが重要です。複数のアカウントで [40 以上のサービスの](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)リソースを管理できるように AWS Organizations、 を使用してアカウントを管理することを検討してください。これにより、個々のアプリケーションチームはワークロード固有のセキュリティニーズを柔軟に管理し、一元化されたセキュリティチームにガバナンスと可視性を提供できます。

スケーラビリティと柔軟性を考慮すると、セキュリティ体制が堅牢で応答性が高く、動的なビジネス環境をサポートできるようになります。

------
#### [ Integration with existing systems ]

現在のオペレーションを中断するのではなく強化するセキュリティ対策を検討してください。たとえば、次のように考えます。
+ からセキュリティデータとアラート**を集約** AWS のサービス し、既存のセキュリティ情報とイベント管理 (SIEM) システムとともに分析することで、ワークフローを合理化します。
+  AWS とオンプレミス環境の両方で、セキュリティの脅威と脆弱性**の統合ビュー**を作成します。
+ を既存のログ管理ソリューション AWS CloudTrail と統合して、 AWS インフラストラクチャと既存のアプリケーション全体のユーザーアクティビティと API 使用状況を**包括的にモニタリング**します。
+ **リソース使用率**を最適化し、環境間でセキュリティポリシーを一貫して適用する方法を検討します。これにより、セキュリティカバレッジのギャップのリスクを軽減できます。

------
#### [ Cost and budget considerations ]

検討している各サービスの[料金モデル](https://aws.amazon.com/pricing)を確認します。 AWS 多くの場合、API コールの数、処理されるデータ量、保存されるデータ量など、使用量に基づいて課金されます。例えば、Amazon GuardDuty は脅威検出のために分析されたログデータの量に基づいて課金しますが AWS WAF 、請求はデプロイされたルールの数と受信したウェブリクエストの数に基づいています。

予想される使用量を見積もり、**コストを正確に予測**します。現在のニーズと潜在的な需要の増加または急増の両方を考慮してください。例えば、スケーラビリティは の主要な機能ですが AWS のサービス、慎重に管理しないとコストが増加する可能性もあります。を使用してさまざまなシナリオ[AWS 料金見積りツール](https://calculator.aws/)をモデル化し、その財務上の影響を評価します。

管理とメンテナンスに必要な時間とリソースなど、直接コストと間接コストの両方を含む**総所有コスト** (TCO) を評価します。マネージドサービスを選択すると、運用上のオーバーヘッドを減らすことができますが、料金が高くなる可能性があります。

最後に、リスク評価に基づいてセキュリティ投資を**優先**します。すべてのセキュリティサービスがインフラストラクチャにとって等しく重要なわけではないため、リスクを軽減し、コンプライアンスを確保する上で最も大きな影響を与える分野に予算を集中させます。セキュリティ AWS 戦略を成功させるには、費用対効果と必要なセキュリティレベルのバランスを取ることが重要です。

------
#### [ Organizational structure and access needs ]

組織の構造と運用、およびアクセスニーズがチーム、プロジェクト、または場所によってどのように異なるかを評価します。これは、ユーザー ID の管理と認証、ロールの割り当て、環境全体のアクセスコントロールの適用方法に影響します AWS 。最小特権のアクセス許可の適用や多要素認証 (MFA) の要求などの[ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)を実装します。

ほとんどの組織には**、マルチアカウント**環境が必要です。このタイプの環境の[ベストプラクティス](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices.html)を確認し、実装に役立つ AWS Control Tower AWS Organizations と の使用を検討してください。

もう 1 つの側面は、**認証情報とアクセスキー**の管理です。IAM Identity Center を使用して、複数の AWS アカウント およびビジネスアプリケーション間でアクセス管理を一元化することを検討してください。これにより、セキュリティとユーザーの利便性の両方が向上します。組織のアカウント間のアクセスをスムーズに管理できるように、IAM Identity Center は と[統合](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-sso.html)されています AWS Organizations。

さらに、これらの ID およびアクセス管理サービスと既存のディレクトリサービスと**の統合**方法を評価します。既存の ID プロバイダーがある場合は、[SAML 2.0 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html)または [OpenID Connect](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html) (OIDC) を使用して、IAM Identity Center と統合できます。IAM アイデンティティセンターは、ディレクトリの同期を維持するために、[クロスドメインアイデンティティ管理 (SCIM) プロビジョニングのシステム](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html)もサポートしています。これにより、 AWS リソースへのアクセス中にシームレスで安全なユーザーエクスペリエンスを確保できます。

 

------

## AWS セキュリティ、アイデンティティ、ガバナンスサービスを選択する
<a name="choose"></a>

セキュリティオプションを評価する基準がわかったので、組織の要件に適した AWS セキュリティサービスを選択する準備が整いました。

次の表は、どのサービスがどの状況に最適化されているかを示しています。テーブルを使用して、組織やユースケースに最適なサービスを決定できます。

**注記**  
1 との統合 AWS Security Hub CSPM ([完全なリスト](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html))  
2 Amazon GuardDuty との統合 ([完全なリスト](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_integrations.html))  
3 Amazon Security Lake との統合 ([完全なリスト](https://docs.aws.amazon.com/security-lake/latest/userguide/aws-integrations.html))

### AWS ID とアクセス管理サービスを選択する
<a name="identity-and-access-management"></a>

適切な個人に、システム、アプリケーション、データへの適切なレベルのアクセスを付与します。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)

### AWS データ保護サービスを選択する
<a name="data-protection"></a>

キー管理や機密データ検出から認証情報管理まで、データ保護とセキュリティのタスクを自動化および簡素化します。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)

### AWS ネットワークおよびアプリケーション保護サービスを選択する
<a name="network-and-application-protection"></a>

インターネットリソースを一般的な DDoS 攻撃やアプリケーション攻撃から一元的に保護します。  

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)

### AWS 検出およびレスポンスサービスを選択する
<a name="detection-and-response"></a>

セキュリティのベストプラクティスを早期に統合しながら、セキュリティリスクを継続的に特定して優先順位を付けます。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)

### AWS ガバナンスおよびコンプライアンスサービスを選択する
<a name="governance-and-compliance"></a>

リソース全体でクラウドガバナンスを確立し、コンプライアンスと監査のプロセスを自動化します。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html)

 

## AWS セキュリティ、アイデンティティ、ガバナンスサービスを使用する
<a name="use"></a>

これで、各 AWS セキュリティ、アイデンティティ、ガバナンスサービス (およびサポート AWS ツールとサービス) の動作と、どちらが適切かを明確に理解できました。

利用可能な各 AWS セキュリティ、アイデンティティ、ガバナンスサービスの使用方法と詳細について調べるために、各サービスの仕組みを調べるための経路を用意しました。以下のセクションでは、詳細なドキュメント、実践的なチュートリアル、開始するためのリソースへのリンクを提供します。

### AWS ID とアクセス管理サービスを使用する
<a name="identity-and-access-management-1"></a>

次の表は、使用開始に役立つ ID とアクセス管理リソースをサービス別にまとめたものです。

------
#### [ AWS IAM アイデンティティセンター ]
+  **IAM アイデンティティセンター AWS の有効化** 

  IAM Identity Center を有効にし、 で使用を開始します AWS Organizations。

   [ガイドを見る](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) 
+  **デフォルトの IAM Identity Center ディレクトリを使用してユーザーアクセスを設定する** 

  デフォルトのディレクトリを ID ソースとして使用し、ユーザーアクセスをセットアップしてテストします。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/quick-start-default-idc.html) 
+  **Active Directory を ID ソースとして使用する** 

  Active Directory を IAM アイデンティティセンターの ID ソースとして使用するための基本的なセットアップを完了します。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) 
+  **Okta と IAM Identity Center で SAML と SCIM を設定する** 

  Okta と IAM Identity Center との SAML 接続を設定します。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-okta.html) 

------
#### [ Amazon Cognito ]
+  **Amazon Cognito の開始方法** 

  最も一般的な Amazon Cognito タスクについて説明します。

   [ガイドを見る](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-getting-started.html) 
+  **チュートリアル: ユーザープールの作成** 

  ユーザープールを作成します。これにより、ユーザーはウェブまたはモバイルアプリにサインインできます。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html) 
+  **チュートリアル: ID プールの作成** 

  ID プールを作成します。これにより、ユーザーは一時的な AWS 認証情報を取得してアクセスできます AWS のサービス。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) 
+  **Amazon Cognito ワークショップ** 

  Amazon Cognito を使用して、架空のペットストアの認証ソリューションを構築する練習をします。  

   [チュートリアルの開始方法](https://www.cognitobuilders.training/) 

------
#### [ AWS RAM ]
+  **の開始方法 AWS RAM** 

   AWS RAM 用語と概念について説明します。

   [ガイドを見る](https://docs.aws.amazon.com/ram/latest/userguide/getting-started.html) 
+  **共有 AWS リソースの使用** 

  所有している AWS リソースを共有し、共有されている AWS リソースにアクセスします。

   [ガイドを見る](https://docs.aws.amazon.com/ram/latest/userguide/working-with.html) 
+  **RAM AWS でのアクセス許可の管理** 

  管理アクセス許可とカスタマー管理アクセス許可の 2 種類の AWS 管理アクセス許可について説明します。

   [ガイドを見る](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html) 
+  **RAM AWS を使用して共有されるリソースへの詳細なアクセスを設定する** 

  カスタマー管理アクセス許可を使用してリソースアクセスをカスタマイズし、最小特権のベストプラクティスを達成します。  

   [ブログを読む](https://aws.amazon.com/blogs/security/configure-fine-grained-access-to-your-resources-shared-using-aws-resource-access-manager/) 

------
#### [ IAM ]
+  **IAM の開始方法** 

  を使用して IAM ロール、ユーザー、ポリシーを作成します AWS マネジメントコンソール。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.html) 
+  **ロール AWS アカウント を使用して 間でアクセスを委任する** 

  ロールを使用して、 **Production** and **Development** という、所有している異なる AWS アカウント のリソースへのアクセスを委任します。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) 
+  **カスタマー管理ポリシーを作成する** 

   AWS マネジメントコンソール を使用して [カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) を作成し、そのポリシーを の IAM ユーザーにアタッチします AWS アカウント。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) 
+  **タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する** 

  プリンシパルタグを持つ IAM ロールが一致するタグを持つリソースにアクセスできるようにするポリシーを作成してテストします。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) 
+  **IAM でのセキュリティのベストプラクティス** 

  IAM のベストプラクティスを使用して、 AWS リソースの保護を支援します。

   [ガイドを見る](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 

------

### AWS データ保護サービスを使用する
<a name="data-protection-1"></a>

次のセクションでは、データ保護について説明する AWS 詳細なリソースへのリンクを提供します。

------
#### [ Macie ]
+  **Amazon Macie の開始方法** 

  で Macie を有効にし AWS アカウント、Amazon S3 セキュリティ体制を評価し、S3 バケット内の機密データを検出してレポートするためのキー設定とリソースを設定します。

   [ガイドを見る](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  **Amazon Macie によるデータセキュリティとプライバシーのモニタリング** 

  Amazon Macie を使用して Amazon S3 データセキュリティをモニタリングし、セキュリティ体制を評価します。

   [ガイドを見る](https://docs.aws.amazon.com/macie/latest/user/monitoring-s3.html) 
+  **Amazon Macie の検出結果の分析** 

  Amazon Macie の検出結果を確認、分析、管理します。

   [ガイドを見る](https://docs.aws.amazon.com/macie/latest/user/findings.html) 
+  **Amazon Macie の検出結果を使用した機密データサンプルの取得** 

  Amazon Macie を使用して、個々の検出結果によって報告された機密データのサンプルを取得して公開します。

   [ガイドを見る](https://docs.aws.amazon.com/macie/latest/user/findings-retrieve-sd.html) 
+  **Amazon Macie による機密データの検出** 

  Amazon S3 データ資産内の機密データの検出、ログ記録、レポートを自動化します。

   [ガイドを見る](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) 

------
#### [ AWS KMS ]
+  **の開始方法 AWS KMS** 

  作成から削除まで、対称暗号化 KMS キーを管理します。

   [ガイドを見る](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  **専用キー** 

  対称暗号化 KMS キーに加えて、 が AWS KMS サポートするさまざまなタイプのキーについて説明します。

   [ガイドを見る](https://docs.aws.amazon.com/kms/latest/developerguide/key-types.html) 
+  **を使用した保管時の暗号化機能のスケーリング AWS KMS** 

  内で利用可能な保管時の暗号化オプションについて説明します AWS。

   [ワークショップの詳細](https://catalog.us-east-1.prod.workshops.aws/workshops/05f16f1a-0bbf-45a7-a304-4fcd7fca3d1f/en-US) 

------
#### [ AWS CloudHSM ]
+  **の開始方法 AWS CloudHSM** 

   AWS CloudHSM クラスターを作成、初期化、アクティブ化します。

   [ガイドを見る](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) 
+  ** AWS CloudHSM クラスターの管理** 

   AWS CloudHSM クラスターと、クラスターの管理におけるさまざまな管理タスクに接続します。

   [ガイドを見る](https://docs.aws.amazon.com/cloudhsm/latest/userguide/manage-clusters.html) 
+  **での HSM ユーザーとキーの管理 AWS CloudHSM** 

  クラスター内の HSMs にユーザーとキーを作成します。

   [ガイドを見る](https://docs.aws.amazon.com/cloudhsm/latest/userguide/manage-hsm-users-and-keys.html) 
+  **CloudHSM で Amazon ECS と TLS オフロードを使用して NGINX ウェブサービスのデプロイを自動化する** 

  を使用して AWS CloudHSM 、クラウドでホストされているウェブサイトのプライベートキーを保存します。

   [ブログを読む](https://aws.amazon.com/blogs/security/automate-the-deployment-of-an-nginx-web-service-using-amazon-ecs-with-tls-offload-in-cloudhsm/) 

------
#### [ AWS Certificate Manager ]
+  **パブリック証明書のリクエスト** 

   AWS Certificate Manager (ACM) コンソールまたは AWS CLI を使用して、パブリック ACM 証明書をリクエストします。

   [ガイドを見る](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) 
+  **のベストプラクティス AWS Certificate Manager** 

  現在の ACM 顧客の実際の経験に基づくベストプラクティスについて説明します。

   [ガイドを見る](https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html) 
+  ** AWS Certificate Manager を使用して証明書発行コントロールを適用する方法** 

  IAM 条件キーを使用して、ユーザーが組織のガイドラインに従って TLS 証明書を発行またはリクエストしていることを確認します。

   [ブログを読む](https://aws.amazon.com/blogs/security/how-to-use-aws-certificate-manager-to-enforce-certificate-issuance-controls/) 

------
#### [ AWS Private CA ]
+  ** AWS Private CA デプロイの計画** 

  プライベート認証機関を作成する前に、使用 AWS Private CA の準備をします。

   [ガイドを見る](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html) 
+  **AWS Private CA 管理** 

  組織による内部使用のために、ルート認証機関と下位認証機関の完全 AWS ホスト階層を作成します。

   [ガイドを見る](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) 
+  **証明書の管理** 

  プライベート証明書の発行 AWS Private CA、取得、一覧表示など、 を使用して基本的な証明書管理タスクを実行します。

   [ガイドを見る](https://docs.aws.amazon.com/privateca/latest/userguide/PcaUsing.html) 
+  **AWS Private CA ワークショップ** 

  プライベート認証機関のさまざまなユースケースに関する実践的な経験を開発します。

   [ワークショップの詳細](https://catalog.us-east-1.prod.workshops.aws/workshops/1d889b6d-52c9-49be-95a0-5e5e97c37f81/en-US) 
+  **を使用して Active Directory での証明書のプロビジョニングを簡素化する方法 AWS Private CA** 

  を使用して AWS Private CA 、Microsoft Active Directory 環境内のユーザーとマシンの証明書をより簡単にプロビジョニングできます。

   [ブログを読む](https://aws.amazon.com/blogs/modernizing-with-aws/simplify-certificate-provisioning-in-ad-with-aws-private-ca/) 
+  **で DNS 名制約を適用する方法 AWS Private CA** 

   AWS Private CA サービスを使用して、DNS 名の制約を下位 CA に適用します。

   [ブログを読む](https://aws.amazon.com/blogs/security/how-to-enforce-dns-name-constraints-in-aws-private-ca/) 

------
#### [ AWS Secrets Manager ]
+  **AWS Secrets Manager の概念** 

  プライベート証明書の発行 AWS Private CA、取得、一覧表示など、 を使用して基本的な証明書管理タスクを実行します。

   [ガイドを見る](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  **の交代ユーザーローテーションを設定する AWS Secrets Manager** 

  データベース認証情報を含むシークレットの交代ユーザーローテーションを設定します。

   [ガイドを見る](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials_rotation-alternating.html) 
+  **Kubernetes での AWS Secrets Manager シークレットの使用** 

  Secrets and Configuration Provider (ASCP) を使用して、Secrets Manager からの AWS シークレットを Amazon EKS ポッドにマウントされたファイルとして表示します。

   [ガイドを見る](https://docs.aws.amazon.com/eks/latest/userguide/manage-secrets.html) 

------
#### [ AWS Payment Cryptography ]
+  **の開始方法 AWS Payment Cryptography** 

   キーを作成し、さまざまな暗号化オペレーションで使用します。

   [ガイドを見る](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/getting-started.html) 
+  **AWS Payment Cryptography よくある質問** 

  の基本を理解します AWS Payment Cryptography。

   [FAQsを確認する](https://aws.amazon.com/payment-cryptography/faqs/) 

------

### AWS ネットワークおよびアプリケーション保護サービスを使用する
<a name="network-and-application-protection-1"></a>

次の表に、 AWS ネットワークとアプリケーションの保護について説明する詳細なリソースへのリンクを示します。

------
#### [ AWS Firewall Manager ]
+  ** AWS Firewall Manager ポリシーの開始方法** 

  を使用して AWS Firewall Manager 、さまざまなタイプのセキュリティポリシーをアクティブ化します。

   [ガイドを見る](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-intro.html) 
+  **を使用してセキュリティグループを継続的に監査および制限する方法 AWS Firewall Manager** 

  を使用してセキュリティグループを制限 AWS Firewall Manager し、必要なポートのみが開かれるようにします。

   [ブログを読む](https://aws.amazon.com/blogs/security/how-to-continuously-audit-and-limit-security-groups-with-aws-firewall-manager/) 
+ **を使用して保護 AWS Firewall Manager を大規模にデプロイする AWS Organizations** 

   AWS Firewall Manager を使用して、 全体にセキュリティポリシーをデプロイおよび管理します AWS Organizations。

   [ブログを読む](https://aws.amazon.com/blogs/security/use-aws-firewall-manager-to-deploy-protection-at-scale-in-aws-organizations/) 

------
#### [ AWS Network Firewall ]
+  **の開始方法 AWS Network Firewall** 

  基本的なインターネットゲートウェイアーキテクチャで VPC の AWS Network Firewall ファイアウォールを設定して実装します。

   [ガイドを見る](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) 
+  **AWS Network Firewall ワークショップ** 

  Infrastructure as Code を使用して AWS Network Firewall をデプロイします。

   [ワークショップの詳細](https://catalog.workshops.aws/networkfirewall/en-US) 
+ ** AWS Network Firewall 柔軟なルールエンジンの実践的なチュートリアル – パート 1** 

  ルールエンジンを操作する AWS アカウント には、 AWS Network Firewall 内に のデモをデプロイします。

   [ブログを読む](https://aws.amazon.com/blogs/security/hands-on-walkthrough-of-the-aws-network-firewall-flexible-rules-engine/) 
+ ** AWS Network Firewall 柔軟なルールエンジンの実践的なチュートリアル – パート 2** 

  厳密なルール順序でファイアウォールポリシーを作成し、1 つ以上のデフォルトアクションを設定します。

   [ブログを読む](https://aws.amazon.com/blogs/security/hands-on-walkthrough-of-the-aws-network-firewall-flexible-rules-engine-part-2/) 
+  **のデプロイモデル AWS Network Firewall** 

  トラフィックパスに追加 AWS Network Firewall できる一般的なユースケースのデプロイモデルについて説明します。

   [ブログを読む](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) 
+ **VPC ルーティングが強化された AWS Network Firewall のデプロイモデル** 

  拡張 VPC ルーティングプリミティブを使用して、同じ VPC の異なるサブネット内のワークロード AWS Network Firewall 間に挿入します。

   [ブログを読む](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) 

------
#### [ AWS Shield ]
+  **の AWS Shield 仕組み** 

  ネットワークレイヤー AWS Shield Standard とトランスポートレイヤー (レイヤー 3 と 4) およびアプリケーションレイヤー (レイヤー 7) の AWS リソースに対する DDoS 攻撃に対する保護方法と AWS Shield Advanced 提供方法について説明します。

   [ガイドを見る](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html) 
+  **の開始方法 AWS Shield Advanced** 

  Shield Advanced コンソール AWS Shield Advanced を使用して の使用を開始します。

   [ガイドを見る](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html) 
+  **AWS Shield Advanced ワークショップ** 

  インターネットに公開されたリソースを DDoS 攻撃から保護し、インフラストラクチャに対する DDoS 攻撃をモニタリングして、適切なチームに通知します。

   [ワークショップの詳細](https://catalog.us-east-1.prod.workshops.aws/workshops/6396761b-6d1f-4a4d-abf1-ffb69dee6995/en-US) 

------
#### [ AWS WAF ]
+  **の開始方法 AWS WAF** 

  ウェブ ACL を設定 AWS WAF、作成し、ウェブリクエストをフィルタリングするルールとルールグループを追加して Amazon CloudFront を保護します。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 
+  **Amazon CloudWatch AWS WAF Logs でのログの分析** 

  Amazon CloudWatch logs へのネイティブ AWS WAF ログ記録を設定し、ログ内のデータを視覚化および分析します。

   [ブログを読む](https://aws.amazon.com/blogs/mt/analyzing-aws-waf-logs-in-amazon-cloudwatch-logs/) 
+  **Amazon CloudWatch ダッシュボードを使用して AWS WAF ログを視覚化する** 

  Amazon CloudWatch を使用して、CloudWatch メトリクス、Contributor Insights、および Logs Insights AWS WAF を使用してアクティビティをモニタリングおよび分析します。

   [ブログを読む](https://aws.amazon.com/blogs/security/visualize-aws-waf-logs-with-an-amazon-cloudwatch-dashboard/) 

------

### AWS 検出およびレスポンスサービスを使用する
<a name="detection-and-response-1"></a>

次の表は、 AWS 検出およびレスポンスサービスを説明する詳細なリソースへのリンクを示しています。

------
#### [ AWS Config ]
+  **の開始方法 AWS Config** 

  SDK をセットアップ AWS Config して操作します。 AWS SDKs 

   [ガイドを見る](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) 
+  **リスクとコンプライアンスワークショップ** 

   AWS Config と AWS マネージド Config ルールを使用してコントロールを自動化します。

   [ワークショップの詳細](https://catalog.us-east-1.prod.workshops.aws/workshops/dd2bea89-dc7a-4bda-966a-70b4ff6e90e0/en-US/3-detective-controls-config/1-config-setup) 
+ **AWS Config Rule Development Kit ライブラリ: 大規模なルールの構築と運用** 

  Rule Development Kit (RDK) を使用してカスタム AWS Config ルールを構築し、RDKLib でデプロイします。

   [ブログを読む](https://aws.amazon.com/blogs/mt/aws-config-rule-development-kit-library-build-and-operate-rules-at-scale/) 

------
#### [ AWS CloudTrail ]
+  **イベント履歴の表示** 

  CloudTrail をサポートするサービス AWS アカウント については、 の AWS API アクティビティを確認してください。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/tutorial-event-history.html) 
+  **管理イベントをログに記録する証跡を作成する** 

  証跡を作成して、すべてのリージョンの管理イベントを記録します。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/tutorial-trail.html) 

------
#### [ AWS Security Hub CSPM ]
+  **有効化 AWS Security Hub CSPM** 

  スタンドアロンアカウントで AWS Security Hub CSPM AWS Organizations または で を有効にします。

   [ガイドを見る](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) 
+  **クロスリージョン集約** 

   AWS Security Hub CSPM 結果を複数の から単一の集約リージョン AWS リージョン に集約します。

   [ガイドを見る](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) 
+  **AWS Security Hub CSPM ワークショップ** 

   AWS Security Hub CSPM と を使用して AWS 環境のセキュリティ体制を管理および改善する方法について説明します。

   [ワークショップの詳細](https://catalog.workshops.aws/security-hub/en-US) 
+ **3 つの定期的な Security Hub CSPM 使用パターンとそのデプロイ方法** 

  最も一般的な 3 つの AWS Security Hub CSPM 使用パターンと、検出結果を特定して管理するための戦略を改善する方法について説明します。

   [ブログを読む](https://aws.amazon.com/blogs/security/three-recurring-security-hub-usage-patterns-and-how-to-deploy-them/) 

------
#### [ Amazon GuardDuty ]
+  **Amazon GuardDuty の開始方法** 

  Amazon GuardDuty を有効にし、検出結果のサンプルを生成して、アラートを設定します。

   [チュートリアルを見る](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) 
+  **Amazon GuardDuty での EKS 保護** 

  Amazon GuardDuty を使用して、Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログをモニタリングします。

   [ガイドを見る](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html) 
+  **Amazon GuardDuty での Lambda 保護** 

   AWS Lambda 関数を呼び出すときに潜在的なセキュリティ脅威を特定します。

   [ガイドを見る](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html) 
+  **GuardDuty Amazon RDS 保護** 

  Amazon GuardDuty を使用して、Amazon Aurora データベースへの潜在的なアクセス脅威について Amazon Relational Database Service (Amazon RDS) ログインアクティビティを分析し、プロファイリングします。

   [ガイドを見る](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) 
+  **Amazon GuardDuty での Amazon S3 Amazon GuardDuty 保護** 

  GuardDuty を使用して CloudTrail データイベントをモニタリングし、S3 バケット内の潜在的なセキュリティリスクを特定します。

   [ガイドを見る](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) 
+ **Amazon GuardDuty と Amazon Detective による脅威の検出と対応** 

   Amazon GuardDuty と Amazon Detective の基本について説明します。

   [ワークショップの詳細](https://catalog.workshops.aws/guardduty/en-US) 

------
#### [ Amazon Inspector ]
+  **Amazon Inspector の開始方法** 

  Amazon Inspector スキャンをアクティブ化して、コンソールでの検出結果を理解します。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html) 
+  **Amazon Inspector による脆弱性管理** 

  Amazon Inspector を使用して、Amazon Elastic Container Registry (Amazon ECR) の Amazon EC2 インスタンスとコンテナイメージをスキャンしてソフトウェアの脆弱性を確認します。

   [ワークショップの詳細](https://catalog.workshops.aws/inspector/en-US) 
+  **Amazon Inspector を使用して EC2 AMIsスキャンする方法** 

  複数の を使用して AMIs AWS のサービス をスキャンし、既知の脆弱性がないかソリューションを構築します。

   [ブログを読む](https://aws.amazon.com/blogs/security/how-to-scan-ec2-amis-using-amazon-inspector/) 

------
#### [ Amazon Security Lake ]
+  **Amazon Security Lake の開始方法** 

   Amazon Security Lake を有効にして使用を開始します。

   [ガイドを見る](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) 
+  **を使用した複数のアカウントの管理 AWS Organizations** 

   複数の からセキュリティログとイベントを収集します AWS アカウント。

   [ガイドを見る](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) 
+ **Amazon Security Lake によって発行されたイベントを Amazon OpenSearch Service に取り込み、変換し、配信する** 

  Amazon Security Lake データを Amazon OpenSearch Service に取り込み、変換して配信し、SecOps チームで使用します。

   [ブログを読む](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) 
+ **Amazon Security Lake の調査結果を Quick で視覚化する方法** 

    Amazon Athena と Quick を使用して、Amazon Security Lake からデータをクエリおよび視覚化します。  Amazon Athena  

   [ブログを読む](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) 

------
#### [ Amazon Detective ]
+  **Amazon Detective の用語と概念** 

   Amazon Detective とその仕組みを理解する上で重要な用語と概念について説明します。

   [ガイドを見る](https://docs.aws.amazon.com/detective/latest/userguide/detective-terms-concepts.html) 
+  **Amazon Detective のセットアップ** 

   Amazon Detective コンソール、Amazon Detective API、または から Amazon Detective を有効にします AWS CLI。

   [ガイドを見る](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html) 
+ **Amazon GuardDuty と Amazon Detective を使用した脅威の検出と対応** 

   Amazon GuardDuty と Amazon Detective の基本について説明します。

   [ワークショップの詳細](https://catalog.workshops.aws/guardduty/en-US) 

------

### AWS ガバナンスおよびコンプライアンスサービスを使用する
<a name="governance-and-compliance-1"></a>

次の表に、ガバナンスとコンプライアンスを説明する詳細なリソースへのリンクを示します。

------
#### [ AWS Organizations ]
+  **組織の作成と設定** 

  組織を作成し、2 つの AWS メンバーアカウントで設定します。

   [チュートリアルの開始方法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html) 
+  **と連携するサービス AWS Organizations** 

   で使用できる AWS Organizations と、組織全体レベルで各サービスを使用する利点を理解 AWS のサービス します。

   [ガイドを見る](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) 
+  **複数のアカウントを使用して AWS 環境を整理する** 

   AWS 環境全体を整理するためのベストプラクティスと現在の推奨事項を実装します。

   [ホワイトペーパーを読む](https://docs.aws.amazon.com/pdfs/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.pdf) 

------
#### [ AWS Artifact ]
+  **の開始方法 AWS Artifact ** 

  セキュリティおよびコンプライアンスレポートのダウンロード、法的契約の管理、通知の管理を行います。

   [ガイドを見る](https://docs.aws.amazon.com/artifact/latest/ug/getting-started.html) 
+  **での契約の管理 AWS Artifact** 

  を使用して、アカウントまたは組織の契約 AWS マネジメントコンソール を確認、承諾、管理します。

   [ガイドを見る](https://docs.aws.amazon.com/artifact/latest/ug/managing-agreements.html) 
+ ** AWS パート 1 の監査の準備 – AWS 監査マネージャー AWS Config、 AWS およびアーティファクト** 

   AWS のサービス を使用して、監査で使用される証拠の収集を自動化できます。

   [ブログを読む](https://aws.amazon.com/blogs/mt/prepare-for-an-audit-in-aws-part-1-aws-audit-manager-aws-config-and-aws-artifact/) 

------
#### [ AWS Audit Manager ]
+  ** AWS Audit Manager の有効化** 

   AWS マネジメントコンソール、Audit Manager API、または を使用して Audit Manager を有効にします AWS CLI。

   [ガイドを詳しく見る](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html) 
+  **監査所有者向けチュートリアル: 評価の作成** 

   Audit Manager サンプルフレームワークを使用して評価を作成します。

   [ガイドを見る](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html) 
+  **受任者向けチュートリアル: コントロールセットの確認** 

   Audit Manager の監査所有者によって共有されたコントロールセットを確認します。

   [ガイドを見る](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-delegates.html) 

------
#### [ AWS Control Tower ]
+  **の開始方法 AWS Control Tower** 

  ランディングゾーンと呼ばれるマルチアカウント環境をセットアップして起動し、規範的なベストプラクティスに従います。

   [ガイドを見る](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) 
+ **Amazon Bedrock と を使用したアカウント管理のモダナイズ AWS Control Tower** 

  セキュリティツールアカウントをプロビジョニングし、生成 AI を活用して AWS アカウント セットアップと管理プロセスを迅速化します。

   [ブログを読む](https://aws.amazon.com/blogs/mt/modernizing-account-management-with-amazon-bedrock-and-aws-control-tower/) 
+ **を使用して適切に設計された AWS GovCloud (米国) 環境を構築する AWS Control Tower** 

  組織単位 (OUs) と を使用して AWS ワークロードを管理するなど、 AWS GovCloud (米国) リージョンでガバナンスを設定します AWS アカウント。

   [ブログを読む](https://aws.amazon.com/blogs/mt/building-a-well-architected-aws-govcloud-us-environment-with-aws-control-tower/) 

------

## AWS セキュリティ、アイデンティティ、ガバナンスのサービスを調べる
<a name="explore"></a>

------
#### [ Editable architecture diagrams ]

**リファレンスアーキテクチャ図** 

セキュリティ、アイデンティティ、ガバナンス戦略の開発に役立つリファレンスアーキテクチャ図をご覧ください。

[セキュリティ、アイデンティティ、ガバナンスのリファレンスアーキテクチャを調べる](https://aws.amazon.com/architecture/?nc2=h_ql_le_arc&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=content-type%23reference-arch-diagram&awsf.methodology=*all&awsf.tech-category=tech-category%23security-identity-compliance&awsf.industries=*all&awsf.business-category=*all) 

------
#### [ Ready-to-use code ]


****  

|  |  | 
| --- |--- |
|  *注目のソリューション* **のセキュリティインサイト AWS** Amazon Security Lake でデータを視覚化し、セキュリティイベントをより迅速に調査して対応できるように構築 AWSされたコードをデプロイします。 [このソリューションの詳細](https://aws.amazon.com/solutions/implementations/security-insights-on-aws/)  |  **AWS ソリューション** によって構築された、事前設定済みのデプロイ可能なソリューションとその実装ガイドについて説明します AWS。 [すべての AWS セキュリティ、アイデンティティ、ガバナンスのソリューションを調べる](https://aws.amazon.com/architecture/?nc2=h_ql_le_arc&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=content-type%23solution&awsf.methodology=*all&awsf.tech-category=tech-category%23security-identity-compliance&awsf.industries=*all&awsf.business-category=*all)  | 

------
#### [ Documentation ]


****  

|  |  | 
| --- |--- |
|  **セキュリティ、アイデンティティ、ガバナンスに関するホワイトペーパー**  ホワイトペーパーでは、組織に最適なセキュリティ、アイデンティティ、ガバナンスサービスの選択、実装、使用に関する詳細なインサイトとベストプラクティスについて説明します。  [セキュリティ、アイデンティティ、ガバナンスのホワイトペーパーを見る](https://aws.amazon.com/architecture/?nc2=h_ql_le_arc&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=content-type%23whitepaper&awsf.methodology=*all&awsf.tech-category=tech-category%23security-identity-compliance&awsf.industries=*all&awsf.business-category=*all)   |  **AWS セキュリティブログ**  特定のセキュリティユースケースに対応するブログ記事をご覧ください。  [AWS セキュリティブログを見る](https://aws.amazon.com/blogs/security/)   | 

------