翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# インフラストラクチャ OU — ネットワークアカウント
<a name="network-account"></a>

**アンケート**  
皆様からのご意見をお待ちしています。[簡単なアンケート](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)に回答して、PRA AWS に関するフィードバックを提供してください。

ネットワークアカウントでは、仮想プライベートクラウド (VPC) とより広範なインターネット間のネットワークを管理します。このアカウントでは、VPC サブネットと AWS Transit Gateway アタッチメントの共有に AWS Resource Access Manager (AWS RAM) を使用し AWS WAF、Amazon CloudFront を使用してターゲットを絞ったサービスの使用をサポートすることで、広範な開示制御メカニズムを実装できます。このアカウントの詳細については、[AWS 「セキュリティリファレンスアーキテクチャ (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html)」を参照してください。次の図は、ネットワークアカウントで設定されている AWS セキュリティおよびプライバシーサービスを示しています。

![\[AWS のサービス インフラストラクチャ組織単位のネットワークアカウントにデプロイされます。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)


**Topics**
+ [

## Amazon CloudFront
](#cloudfront)
+ [

## AWS Resource Access Manager
](#aws-ram-network)
+ [

## AWS Transit Gateway
](#transit-gateway)
+ [

## AWS WAF
](#aws-waf)

## Amazon CloudFront
<a name="cloudfront"></a>

[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) は、フロントエンドアプリケーションとファイルホスティングの地理的制限をサポートしています。CloudFront では、*エッジロケーション*というデータセンターの世界的ネットワークを経由してコンテンツを配信できます。ユーザーが CloudFront を通じて提供しているコンテンツを要求すると、要求は最も遅延が少ないエッジロケーションにルーティングされます。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「[AWS セキュリティリファレンスアーキテクチャ](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf)」を参照してください。

お客様のプライバシープログラムが、現在、特定の地域法への準拠をサポートしている可能性があります。ワークロードが、これらのリージョン内にのみ存在する顧客にのみサービスを提供するようスコープ設定されている場合は、他のリージョンでの使用を防止する技術的対策を実装できます。CloudFront の地理的制限を使用すると、CloudFront ディストリビューションを通じて配信しているコンテンツに対して特定地域のユーザーがアクセスできないようにすることができます。詳細および地理的制限の設定オプションについては、CloudFront ドキュメントの「[コンテンツの地理的ディストリビューションの制限](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html)」を参照してください。

また、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を含めたアクセスログが作成されるように CloudFront を設定することもできます。詳細については、CloudFront ドキュメントの「[標準ログ (アクセスログ) の設定および使用](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)」を参照してください。最後に、CloudFront が一連のエッジロケーションでコンテンツをキャッシュするように設定されている場合は、キャッシュが発生する場所を検討できます。一部の組織では、クロスリージョンキャッシュが海外へのデータ転送要件の対象となる場合があります。

## AWS Resource Access Manager
<a name="aws-ram-network"></a>

[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) は、 間でリソースを安全に共有 AWS アカウント し、運用オーバーヘッドを削減し、可視性と監査性を提供します。を使用すると AWS RAM、組織は組織 AWS アカウント 内の他の またはサードパーティーアカウントと共有できる AWS リソースを制限できます。詳細については、[「共有可能な AWS リソース](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html)」を参照してください。ネットワークアカウントでは、 AWS RAM を使用して VPC サブネットとトランジットゲートウェイ接続を共有できます。 AWS RAM を使用してデータプレーン接続を別の と共有する場合は AWS アカウント、接続が事前承認され、データレジデンシー要件 AWS リージョン に準拠していることをチェックするプロセスを確立することを検討してください。

VPCs とトランジットゲートウェイ接続の共有に加えて、 を使用して、IAM リソースベースのポリシーをサポートしていないリソースを共有 AWS RAM できます。[個人データ OU ](personal-data-account.md)でホストされているワークロードの場合、 AWS RAM を使用して、別の にある個人データにアクセスできます AWS アカウント。詳細については、「*個人データ OU – PD アプリケーションアカウント*」セクションの「[AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account)」を参照してください。

## AWS Transit Gateway
<a name="transit-gateway"></a>

組織のデータレジデンシー要件 AWS リージョン に沿った個人データを収集、保存、または処理する AWS リソースを にデプロイする場合で、適切な技術的保護策がある場合は、コントロールプレーンとデータプレーンで未承認のクロスボーダーデータフローを防ぐためにガードレールを実装することを検討してください。コントロールプレーンでは、IAM およびサービスコントロールポリシーを使用してリージョンの使用を制限し、その結果、クロスリージョンのデータフローも制限できます。

データプレーンでクロスリージョンデータフローを制御するには、複数のオプションがあります。例えば、ルートテーブル、VPC ピアリング、 AWS Transit Gateway アタッチメントを使用できます。[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) は、仮想プライベートクラウド (VPC) とオンプレミスネットワークを接続する中心的なハブです。より大きな AWS ランディングゾーンの一部として、インターネットゲートウェイ AWS リージョン、VPC-to-VPC直接ピアリング、 とのリージョン間ピアリングなど、データが通過できるさまざまな方法を検討できます AWS Transit Gateway。例えば、 AWS Transit Gatewayで次を実行できます。
+ VPC とオンプレミス環境間の東西接続と南北接続がプライバシー要件と一致していることを確認します。
+ プライバシー要件に従って VPC の設定を構成します。
+  AWS Organizations および IAM ポリシーでサービスコントロールポリシーを使用して、 AWS Transit Gateway および Amazon Virtual Private Cloud (Amazon VPC) 設定の変更を防止します。サービスコントロールポリシーのサンプルについては、このガイドの「[VPC 設定の変更を制限する](restrict-changes-vpc-configurations.md)」を参照してください。

## AWS WAF
<a name="aws-waf"></a>

個人データの意図しない開示を防ぐために、ウェブアプリケーションに defense-in-depth アプローチをデプロイできます。入力検証とレート制限をアプリケーションに構築することはできますが、別の防御線として機能する AWS WAF ことができます。 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)は、保護されたウェブアプリケーションリソースに転送される HTTP および HTTPS リクエストをモニタリングするのに役立つウェブアプリケーションファイアウォールです。セキュリティコンテキストでのこのサービスの使用方法についての詳細は、「[AWS セキュリティリファレンスアーキテクチャ](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf)」を参照してください。

を使用すると AWS WAF、特定の条件を検査するルールを定義してデプロイできます。以下のアクティビティは、個人データの意図しない開示に関連している可能性があります。
+ 不明または悪意のある IP アドレスまたは地理的場所からのトラフィック
+ Open Worldwide Application Security Project (OWASP) による[上位 10 件の攻撃](https://owasp.org/www-project-top-ten/) (SQL インジェクションなど漏洩関連の攻撃を含む)
+ 割合の高いリクエスト
+ 一般的なボットトラフィック
+ コンテンツスクレイパー

によって管理される AWS WAF [ルールグループ](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html)をデプロイできます AWS。のマネージドルールグループの中には AWS WAF 、プライバシーや個人データに対する脅威を検出するために使用できるものもあります。次に例を示します。
+ [SQL データベース](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db) - このルールグループには、SQL インジェクション攻撃などの SQL データベースの悪用に関連する要求パターンをブロックするルールが含まれています。アプリケーションが SQL データベースと連結している場合は、このルールグループを検討してください。
+ [既知の不正な入力](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs) – このルールグループには、無効であることがわかっていて、脆弱性の悪用または検知に関連する要求パターンをブロックするルールが含まれています。
+ [Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) – このルールグループには、過剰なリソースを消費し、ビジネスメトリクスを歪め、ダウンタイムを引き起こし、悪意のあるアクティビティを実行する可能性があるボットからの要求を管理するように設計されたルールが含まれています。
+ [Account takeover prevention (ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html) – このルールグループには、悪意のあるアカウント乗っ取りの試みを防ぐように設計されたルールが含まれています。このルールグループでは、アプリケーションのログインエンドポイントに送信されたログイン試行が検査されます。