# ベストプラクティス 5.3 – SAP ワークロードの特定のセキュリティコントロールの必要性を評価する データ分類に基づいて、以前のベストプラクティスで確立されたスタンダードと要件に適合するために役立つコントロールを評価します。これには、ロケーション、AWS アカウント戦略と非本番稼働用 SAP ワークロードのスクランブル要件が含まれます。 **提案 5.3.1 - 地理的な場所要件を評価する** SAP ワークロードは、1 つまたは多数の AWS リージョンとアベイラビリティーゾーン (AZ) でデプロイされる可能性があります。各 AWS リージョンは、1 つの地理的領域内にある、複数の、隔離され、物理的にも分かれている AZ で成り立っています。レイテンシーと回復性についてリージョンを評価することに加え、セキュリティとコンプライアンス要件に適合できるかどうかを検討する必要があります。特定の運用管轄地域がある隔離されたリージョンの例には以下が含まれます。 + AWS GovCloud (US) - 機密データ、規制されたワークロードをホストし、最も厳格な米国政府のセキュリティとコンプライアンス要件に対応するように設計されています。 + 中国でのアマゾン ウェブ サービス - AWS は地元のパートナーと連携して、中国のリーガル要件と規制要件に適合するようにしています 一部の業界と国には、IT システムで処理および格納されるすべての顧客コンテンツは特定の国の国境内にとどまらなければならないというデータレジデンシー要件があります。 + AWSドキュメント: [Addressing Data Residency with AWS (AWS によるデータレジデンシーへの対応)](https://aws.amazon.com/blogs/security/addressing-data-residency-with-aws/) 場所に関する決定を下す前に、その AWS リージョンのサービスの可用性をレビューして、必要なサービスが使用できることを確認してください。 + AWSドキュメント: [リージョン別のサービス](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) **提案 5.3.2 - SAP ワークロードに対して必要な AWS アカウント戦略を決定する** AWS で SAP ワークロードを運用するときの重要な考慮事項は、組織のセキュリティ管理に応じて採用する AWS アカウント戦略です。SAP を SAP 以外のワークロードから切り離し、生産を生産以外のものとは別のアカウントで行うことを考慮する必要があります。 AWS 組織と AWS Control Tower の使用も含め、組織の既存の AWS アカウント管理戦略を理解します。セキュリティ機能とログ機能を別々のアカウントに分離することを検討します。詳細については、以下を参照してください。 + Well-Architected Framework [セキュリティ]: [AWS アカウントの管理と分離](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/aws-account-management-and-separation.html) + AWSドキュメント: [ベストプラクティスの AWS 環境を確立する](https://aws.amazon.com/organizations/getting-started/best-practices/) + AWSドキュメント: [Organizing Your AWS Environment Using Multiple Accounts (複数のアカウントを使用した AWS 環境の組織化)](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/advanced-organization.html) 採用するアカウント戦略は、AWS 内のネットワーク構成にも影響を与えます。SAP ワークロードに応じた適切な AWS アカウント戦略を決定する一環として、以下のことを考慮する必要があります。 + 非生産システムと生産システム間の通信を可能にするための、 [VPC ピアリング](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) または [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) のセットアップの必要性などのクロスアカウントアクセスの要件。例えば、環境内の SAP トランスポートの移動。 + SAP ワークロードから異なる AWS アカウントでデプロイされる共有サービス (ディレクトリ管理リソースなど) とネットワーク管理コンポーネントに対する依存性。 **提案 5.3.3 - データスクランブリングのコントロールをレビューする (該当する場合)** SAP のお客様の多くは、回帰テストや性能テストも含め、テスト目的で製品データのコピーに依存しています。生産データのコピーを作成する場合は、生産データを意図しないアクセスや改変から保護するために追加しなければならないコントロールを決定してください。 以下のオプションを考慮してください。 + SAP またはサードパーティープロバイダーから提供される従来のデータスクランブリングメカニズム + 生産データのコピー時にアクセスを制限するための追加のアカウントまたはネットワークコントロールの使用 + 生産用と同じコントロールでの非生産アカウントの使用