# セキュリティ
AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。この[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)により、ホストオペレーティングシステムと仮想化レイヤーからサービスが運用されている施設の物理的なセキュリティに至るまでのコンポーネントを AWS が運用、管理、制御するため、お客様の運用上の負担を軽減するのに役立ちます。AWS セキュリティの詳細については、「[AWS クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。
## IAM ロール
IAM ロールを使用すると、AWS クラウドのサービスとユーザーに、きめ細かなアクセスポリシーとアクセス許可を割り当てることができます。このソリューションでは、ソリューションのリソースに対して必要なアクセス許可を付与する、最小特権の IAM ロールが作成されます。
## データ
Amazon S3 バケットと DynamoDB テーブルに保存されたすべてのデータは、保管時に暗号化されます。Firehose で転送中のデータも暗号化されます。
## 保護機能
ウェブアプリケーションは、さまざまな攻撃に対して脆弱です。これらの攻撃には、脆弱性を悪用したりサーバーを制御したりするように特別に設計・作成されたリクエスト、ウェブサイトを破壊するように設計された帯域幅消費型攻撃、ウェブコンテンツを破壊し盗むようにプログラムされた悪質なボットやスクレイパーなどが含まれます。
このソリューションでは、CloudFormation を使用して、AWS マネージドルールのルールグループやカスタムルールなどの AWS WAF ルールを設定し、次のような一般的な攻撃をブロックします。
+ **AWS マネージドルール** – このマネージドサービスは、一般的なアプリケーションの脆弱性やその他の望ましくないトラフィックに対する保護を提供します。このソリューションには、[AWS マネージド IP 評価ルールグループ](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html)、[AWS マネージドベースラインルールグループ](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html)、[AWS マネージドユースケース固有のルールグループ](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html)が含まれます。ウェブ ACL のキャパシティユニット (WCU) クォータの上限まで、ウェブ ACL に 1 つまたは複数のルールグループを選択するオプションがあります。
+ **SQL インジェクション** – 攻撃者は、データベースからデータを抽出するために、ウェブリクエストに悪意のある SQL コードを挿入します。このソリューションは、悪意のある可能性がある SQL コードを含むウェブリクエストをブロックするように設計されています。
+ **XSS** – 攻撃者は悪質なウェブサイトの脆弱性を利用して、悪意のあるクライアントサイトスクリプトを正当なユーザーのウェブブラウザに挿入します。このソリューションは、XSS 攻撃を識別してブロックするために、一般的に調査される受信リクエストの要素を検査するように設計されています。
+ **HTTP フラッド** – ウェブサーバーやその他のバックエンドリソースには、HTTP フラッドなどの DDoS 攻撃のリスクがあります。このソリューションでは、クライアントからのウェブリクエストが設定したクォータを超えると、レートベースのルールが自動的に起動されます。または、Lambda 関数または Athena クエリを使用して AWS WAF ログを処理することで、このクォータを適用することもできます。
+ **スキャナーとプローブ** – 悪意のある送信元は、HTTP 4xx エラーコードを生成する一連のリクエストを送信することで、インターネットに接続しているウェブアプリケーションの脆弱性をスキャンして調査します。この履歴を使用して、悪意のある送信元 IP アドレスを識別してブロックできます。このソリューションは、CloudFront または ALB のアクセスログを自動的に解析し、1 分あたりの一意の送信元 IP アドレスからの不正リクエストの数をカウントして、定義されたエラークォータに達したアドレスからのさらなるスキャンをブロックするように AWS WAF を更新する Lambda 関数または Athena クエリを作成します。
+ **既知の攻撃元 (IP 評価リスト)** – 多くの組織が、スパマー、マルウェアディストリビューター、ボットネットなど、既知の攻撃者が用いる IP アドレスの評価リストを保持しています。このソリューションは、これらの評価リストの情報を活用して、悪質な送信元 IP アドレスからのリクエストをブロックするのに役立ちます。さらに、このソリューションは、Amazon の内部脅威インテリジェンスに基づいて IP 評価ルールグループによって識別される攻撃者をブロックします。
+ **ボットとスクレイパー** – 一般的に公開されたウェブアプリケーションの管理者は、コンテンツにアクセスするクライアントが自分自身を正確に識別し、意図したとおりにサービスを使用することを信頼する必要があります。ただし、コンテンツスクレイパーや悪質なボットなどの一部の自動化されたクライアントは、制限を回避するために自分自身を偽装しています。このソリューションは、悪質なボットやスクレイパーを識別してブロックするのに役立ちます。