弊社のSolarStormへの対応を読む
  • ネットワーク セキュリティ
  • クラウド セキュリティ
  • セキュリティ オペレーション
  • その他
  • サポートを受ける
  • スタート ガイド

AWSコンプライアンスを維持する方法-パロアルトネットワークス

5min. read

Amazon Web Services (AWS)は、ISOやSOC 2などへの準拠の認定を受けています。しかし、AWSにデータを格納する方法が常に準拠しているとは限りません。

ビジネスがクラウドに移行し続けている中、データ セキュリティや規制準拠は非常に重要になっています。幸いなことに、オンデマンド クラウド コンピューティング プラットフォームであるAmazon Web Services (AWS®)は、ISO、PCI DSS、SOC 2などの規制への準拠の認定を受けています。しかし、これは、AWS内にデータを格納する方法が準拠しているということではありません。セキュリティと同様に、コンプライアンスは責任共有モデルに分類されます。すなわち、AWSそのものはホスト レイヤーおよび物理インフラストラクチャに適用される規制に準拠する責任を負うのに対し、AWSユーザーはサービスの使用、アプリケーションの利用、クラウドへのデータ保存の方法に適用される規制に準拠する責任を負います。

従来、ITインフラストラクチャでのコンプライアンスの管理はどうなっていたかを確認してみましょう。組織のコンプライアンス チームは、組織のすべてのITリソースのインベントリを作成していました。次に、チームは規制の対象となるデータを含むすべてのリソースを確認し、既存の制御と対応する規制要件を結び付けて、コンプライアンスを証明していました。

しかし、AWSの場合、手作業によるコンプライアンス管理では不十分です。開発者は新規リソースを導入し、インフラストラクチャに迅速に変更を加えることができ、多くの場合、変更はセキュリティ チームやコンプライアンス チームのチェックを受けずに実行されます。また、組織がある日のコンプライアンスを証明できても、2週間後、または24時間後でさえも準拠し続けているわけではないことが、事態をさらに複雑にしています。クラウドでは、「ある時点」でのコンプライアンスはすぐに無意味になります。

AWSコンプライアンスを維持するには、新たなアプローチが必要です。DevOpsチームが「継続的なデリバリー」や「継続的なイノベーション」をありふれたIT言語にしたように、「継続的なセキュリティ」や「継続的なコンプライアンス」について頻繁に議論する必要があります。

良い点を挙げれば、従来のデータセンターでのコンプライアンス管理とは異なり、AWSインフラストラクチャではプログラムを使ってセキュリティやコンプライアンスに自動的に対処することができます。クラウド プロバイダAPIを利用できるようになって、セキュリティの自動化のまったく新しい時代が始まりました。AWS Configによって、組織は、AWS APIを使用してインフラストラクチャのメタデータにアクセスし、新たな変更がコンプライアンスの問題をもたらしているかどうかを継続的に監視し、測定できます。

継続的なコンプライアンスのためのAWS Configの使用

AWS Configを使用すると、環境を継続的に監視して、1つのダッシュボードで設定変更および必要な設定ルールへの準拠を確認し、リソース関係の表示および管理をすべて行うことができます(図1を参照)。

 

図1: AWS管理ダッシュボード

次の2つの方法で、継続的なコンプライアンスのためにAWS Configを使用できます。

オプション1:  Simple Notification Serviceを使用して、手作業で修正します。環境内で何かが変更され、組織のルールに準拠しなくなると、SNSでアラートがトリガーされます。これにより、問題の発生後ただちに手作業で修正できます。

オプション2: AWS Lambdaを使用して、自動修復します。環境内での変更により、コンプライアンス違反が発生すると、Lambda関数がトリガーされて自動修正されます。例: Configルールでは、VPCフロー ログを常に有効にするように定められています。誰かがフロー ログを無効にすると、LambdaはAPIアクセスを使用して再度有効にします。

 

AWS Configのしくみを表す図

図2: AWS Configのしくみ

AWS Configにより、APIを介して管理する、カスタマイズ可能な事前定義されたルールが提供されます。管理者はチームおよび組織固有のConfigルールを記述して、より包括的なコンプライアンス レポートを作成することもできます。カスタムAWS Configルールの選定されたコミュニティ リポジトリについては、ここをクリックしてください。

AWSサービスを使用してコンプライアンスを確保

前述したように、責任共有モデルに従って、AWSは実行されているクラウド インフラストラクチャ ワークロードのセキュリティとコンプライアンスに責任を負い、ユーザーはワークロードそのもののコンプライアンスに責任を負います。ただし、AWSには、コンプライアンスを確保するための複数のツールが用意されています。以下に例を示します。

  • PCI DSS要件8: アプリケーション所有者に、システム コンポーネントへのアクセスを識別して認証するよう求めます。AWS Cognitoは、ユーザーおよび他のAWSサービスの認証と認可の設定をサポートする認証サービスで、一般に、この要件を遵守するために使用されます。 

  • PCI DSS要件11: ネットワーク リソースおよびカード会員データへのすべてのアクセスの追跡およびモニタリングについて述べています。これは、CloudWatchやCloudTrailなどのモニタリング ツールを使用して行うことができます。 

きめ細かなレポート

クラウド環境が発展し、組織への規制が厳しくなると、よりきめ細かなAWSコンプライアンス レポートが必要になります。たとえば、AWS環境を特定のコンプライアンス規制に紐付ける方法、またはチームおよびAWSアカウントごとに異なるコンプライアンス ビューを有効にする方法を知りたいでしょう。

このような場合に、サードパーティのAPIベースのコンプライアンス ツールが役に立ちます。このツールを使用すると、クラウド構成の変更をリアルタイムで継続的に監視して、クラウド構成をISO、SOC 2、HIPAA、PCI DSS、NIST、GDPRなどの規制の事前作成済みコンプライアンス テンプレートに紐付けることができます。適切なコンプライアンス ツールを使えば、容易にコンプライアンス レポートを生成し、監査担当者、顧客、利害関係者にワンクリックでコンプライアンス体制をデモできます。適切なツールを選択するガイドラインについては、このブログ記事をご覧ください。

この問題の詳細については、eブックContinuous Monitoring and Compliance in the Cloudをダウンロードしてください。


リサーチ

2020 年 - Unit 42 IoT 脅威レポート

IoT脅威の現状を評価するため、Unit 42 脅威インテリジェンスチームとIoTセキュリティの専門家が2018年から2019年にかけて米国にある120万台のIoTデバイスで発生したセキュリティインシデントを分析し、本レポートにとめました。

March 17, 2020
  • 789

ホワイトペーパー

AWS リファレンス アーキテクチャ ガイド

AWS環境で次世代ファイアーウォールを 利用する際のユースケースや理解を深めるための技術情報をまとめたものです。

January 4, 2018
  • 3088

ホワイトペーパー

Azure リファレンス アーキテクチャ ガイド

AWS環境で次世代ファイアーウォールを 利用する際のユースケースや理解を深めるための技術情報をまとめたものです。

January 23, 2018
  • 2488

リサーチ

クラウド脅威レポート

Infrastructure-as-codeで気をつけるべき脆弱性とは

March 5, 2020
  • 641

データシート

Amazon Web Services 向け Prisma Cloud

Prisma™ Cloud (旧名RedLock) は、クラウド リソースの変化を動的に検出し、ユーザー アクティビティ、リソース設定、ネットワーク トラフィック、脅威インテリジェンス、および脆弱性フィードなどの生のサイロ化されたデータ ソースを常に関連付けて、パブリック クラウドのリスクの全体像を示す、セキュリティとコンプライアンスのサービスです。Prismaは、革新的な、機械学習によるアプローチを通じて、組織が責任共有モデルにおいて迅速にリスクに優先順位を付け、俊敏な開発を維持し、効果的に義務を履行できるようにします。

July 18, 2019
  • 1751

データシート

Microsoft Azure 向け Prisma Cloud

Prisma™ Cloud (旧名RedLock) は、クラウド リソースの変化を動的に検出し、ユーザー アクティビティ、リソース設定、ネットワーク トラフィック、脅威インテリジェンス、および脆弱性フィードなどの生のサイロ化されたデータ ソースを常に関連付けて、パブリック クラウドのリスクの全体像を示す、セキュリティとコンプライアンスのサービスです。Prisma は、革新的な、機械学習によるアプローチを通じて、組織が責任共有モデルにおいて迅速にリスクに優先順位を付け、俊敏な開発を維持し、効果的に義務を履行できるようにします。

July 19, 2019
  • 892

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.