View a markdown version of this page

マルチアカウントアーキテクチャのセキュリティインシデント対応 - AWS 規範ガイダンス
Amazon GuardDutyAmazon MacieAWS Security Hub CSPM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウントアーキテクチャのセキュリティインシデント対応

複数の に移行するときは AWS アカウント、組織内で発生する可能性のあるセキュリティイベントを可視化することが重要です。ID 管理とアクセス制御 で、 AWS Control Tower を使用してランディングゾーンをセットアップしました。そのセットアッププロセス中に、 はセキュリティ AWS アカウント のために AWS Control Tower を指定しました。セキュリティサービスの管理は、security-tooling-prod アカウントに委任する必要があります。このアカウントを使用してセキュリティサービスを一元管理します。

このガイドでは、 AWS アカウント と組織を保護するために以下を使用する AWS のサービス 方法について説明します。

Amazon GuardDuty

Amazon GuardDuty は、 AWS CloudTrail イベントログなどのデータソースを分析する継続的なセキュリティモニタリングサービスです。サポートされているデータソースのリストについては、「基礎データソース」(GuardDuty ドキュメント) を参照してください。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードおよび機械学習を使用して、 AWS 環境内での予期しない、および潜在的に未許可で悪意のあるアクティビティを識別します。

で GuardDuty を使用する場合 AWS Organizations、組織の管理アカウントは、組織内の任意のアカウントを GuardDuty の委任管理者に指定できます。委任された管理者がそのリージョンの GuardDuty 管理者アカウントになります。GuardDuty は、その : で自動的に有効になりAWS リージョン、委任管理者アカウントには、そのリージョン内の組織内のすべてのアカウントに対して GuardDuty を有効化および管理するためのアクセス許可があります。詳細については、「AWS Organizationsを使用した GuardDuty アカウントの管理」(GuardDuty ドキュメント) を参照してください。

GuardDuty はリージョンレベルのサービスです。つまり、監視する各リージョンで、GuardDuty を有効にする必要があります。

ベストプラクティス

  • サポートされているすべての で GuardDuty を有効にします AWS リージョン。GuardDuty は積極的に使用されていないリージョンでも、許可されていないアクティビティや異常なアクティビティに関する検出結果を生成できます。GuardDuty の料金は、分析したイベントの数に基づいています。ワークロードを運用していない地域でも、GuardDuty を有効にしておくと、悪意のあるアクティビティの可能性があるものを警告する効果的でコスト効率の高い検出ツールになります。GuardDuty が利用できるリージョンについては、「Amazon GuardDuty サービスエンドポイント」(AWS 全般のリファレンス) を参照してください。

  • すべてのリージョンで、security-tooling-prod アカウントに組織の GuardDuty 管理を委任します。詳細については、「GuardDuty の委任された管理者の指定」(GuardDuty ドキュメント) を参照してください。

  • 組織に追加された新しい を自動的に登録するように AWS アカウント GuardDuty を設定します。詳細については、GuardDuty ドキュメントの「AWS Organizationsを使用したアカウントの管理」にある「ステップ 3 - アカウントをメンバーとして組織に追加する」を参照してください。

Amazon Macie

Amazon Macie は、フルマネージド型のデータセキュリティおよびデータプライバシーサービスです。機械学習とパターンマッチングを使用して、Amazon Simple Storage Service (Amazon S3) 内の機密データを検出、モニタリング、保護するのに役立ちます。Amazon Relational Database Service (Amazon RDS) と Amazon DynamoDB (S3 バケット) からデータをエクスポートし、Macie を使用してデータをスキャンできます。

で Macie を使用する場合 AWS Organizations、組織の管理アカウントは、組織内の任意のアカウントを Macie 管理者アカウントとして指定できます。管理者アカウントは、組織のメンバーアカウントの Macie を有効にして管理したり、Amazon S3 インベントリデータにアクセスしたりすることができます。アカウントの機密データ検出ジョブを実行することもできます。詳細については、「Managing accounts with AWS Organizations」(Macie ドキュメント) を参照してください。

Macie はリージョン別サービスです。つまり、監視する各リージョンで Macie を有効にする必要があり、Macie 管理者アカウントは同じリージョン内のメンバーアカウントのみを管理します。

ベストプラクティス

  • Considerations and recommendations for using Macie with AWS Organizations」(Macie ドキュメント) を順守してください。

  • すべてのリージョンで、security-tooling-prod アカウントに組織の Macie 管理を委任します。複数の で Macie アカウントを一元管理するには AWS リージョン、管理アカウントは、組織が現在 Macie を使用している、または使用する各リージョンにログインし、それらの各リージョンで Macie 管理者アカウントを指定する必要があります。次に Macie 管理者アカウントは、それらの各リージョンで組織を設定できます。詳細については、「Integrating and configuring an organization」(Macie ドキュメント) を参照してください。

  • Macie には、機密データ検出ジョブの月間無料利用枠があります。Amazon S3 に機密データが保存されている可能性がある場合は、毎月の無料利用枠の一部として Macie を使用して S3 バケットを分析してください。無料利用枠を超えると、アカウントの機密データ検出料金が発生します。

AWS Security Hub CSPM

AWS Security Hub CSPM では、 のセキュリティ状態を包括的に把握できます AWS。セキュリティ業界の標準とベストプラクティスに照らしてお使いの環境をチェックできます。Security Hub CSPM は、すべての 、 サービス (GuardDuty と Macie を含む) AWS アカウント、およびサポートされているサードパーティーパートナー製品からセキュリティデータを収集します。Security Hub CSPM は、セキュリティの傾向を分析し、最も優先度の高いセキュリティ問題を特定するのに役立ちます。Security Hub CSPM には、各 でコンプライアンスチェックを実行できるように、さまざまなセキュリティ標準が用意されています AWS アカウント。

で Security Hub CSPM を使用する場合 AWS Organizations、組織内の管理アカウントは、組織内の任意のアカウントを Security Hub CSPM 管理者アカウントとして指定できます。Security Hub CSPM 管理者アカウントは、組織内の他のメンバーアカウントを有効化および管理できます。詳細については、「 AWS Organizations を使用してアカウントを管理する」(Security Hub CSPM ドキュメント) を参照してください。

Security Hub CSPM はリージョン別サービスです。つまり、分析する各リージョンで Security Hub CSPM を有効にし、各リージョンの委任管理者を定義 AWS Organizationsする必要があります。

ベストプラクティス

  • 前提条件と推奨事項 (Security Hub CSPM ドキュメント) に従ってください。

  • すべてのリージョンで、security-tooling-prod アカウントを委任して、組織の Security Hub CSPM を管理します。詳細については、「Security Hub CSPM 管理者アカウントの指定」(Security Hub CSPM ドキュメント) を参照してください。

  • 新しい が組織に追加 AWS アカウント されると自動的に登録されるように Security Hub CSPM を設定します。

  • AWS Foundational Security Best Practices 標準 (Security Hub CSPM ドキュメント) を有効にして、リソースがセキュリティのベストプラクティスから逸脱した場合を検出します。

  • クロスリージョン集約 (Security Hub CSPM ドキュメント) を有効にして、1 つのリージョンからすべての Security Hub CSPM の検出結果を表示および管理できるようにします。