コンソール VPC:仮想専有領域 EC2:OS領域 EBS:ローカルディスク RDS:データベース S3:ストレージ CloudWatch:監視 Direct Connect:NW セキュリティの標準設計ルール例(防御) 検知の対応例 GuardDuty Control Tower Security Hub Firewall Manager Macie Trusted Advisor ・AWSアカウント:利用制限 ・IAMユーザ:操作権限と接続元制限 利用可能リソースに対するアクセスコントロール、多要素認証の導入 ・本番環境、開発環境といった環境単位でVPCの分離 ・サブネット単位での通信制御、ルーティング設定 ・VPCフローログの取得 ・Security Groupによるサーバ間通信制御 ・Systems Manager等を利用しての、サーバ状態の把握と一括パッチ当て ・サーバのログイン管理の仕組みと、ログ集約の仕組みの導入 ・暗号化オプションによるディスク全体の暗号化 CloudTrailによる AWS操作履歴 トラフィックログ 各種アプリケーションログ OSログイン履歴 DB監査ログ AWSサービス各種による ログ・アラート 検査するべきログ ・専用線(DX)やVPNを利用した経路安全の確保 ・Transit Gatewayを利用したVPC・経路の管理 ・経路の冗⾧化による事業継続性の確保 ・DBMSの機能によるテーブル全体(表領域)の暗号化 ・DBに対するアクセス権限の管理 ・暗号化オプションによるストレージ全体の暗号化 ・クライアントサイドは暗号化キーによりデータを保護 ・CloudWatchによるAWSの監視と、運用監視ソフトウェアを利 用したサービス、アプリケーション監視の併用 Inspector AWSの利用状況の監査 AWSアカウントの設定とガバナンス セキュリティーアラートの集約と検知・ 対応 AWSの不正利用の検知 OS、アプリのセキュリティ評価 Firewallの一元管理と検知・対応 S3内の機密情報の検出、分類、保 護 Organizations