Well-Architected Framework: セキュリティの柱

セキュリティ (Security) とは

「セキュリティ」の柱は、情報、システム、およびアセットを保護しながら、クラウドテクノロジーを活用してビジネス価値を提供し、セキュリティ体制を継続的に向上させる能力に焦点を当てています。

大前提として、AWS責任共有モデルを理解することが重要です。AWSは「クラウドのセキュリティ（インフラの物理的保護など）」を担い、ユーザーは「クラウドにおけるセキュリティ（データ暗号化、アクセス制御など）」を担います。

設計原則（設計事項）

セキュリティを高めるための設計原則は以下の通りです。

• 強力なアイデンティティ基盤を実装する: 最小権限の原則（Principle of least privilege）を適用し、AWSリソースへのアクセスを厳密に制御します。長期的な認証情報への依存を減らし、一時的な認証情報に依存します。
• トレーサビリティを有効にする: 環境への変更やアクセスをリアルタイムで監視、アラート、監査します。ログとメトリクスを自動的に収集・統合します。
• 全レイヤーでセキュリティを適用する: ネットワークのエッジだけでなく、VPC、サブネット、ロードバランサー、各インスタンス、OS、アプリケーションなど、すべての層で防御（多層防御）を適用します。
• セキュリティのベストプラクティスを自動化する: ソフトウェアベースのセキュリティメカニズムを作成し、インフラストラクチャ全体のテンプレート化（IaC）により、安全な構成を自動的かつ一貫してデプロイします。
• 伝送中および保管中のデータを保護する: データを機密性レベルに分類し、暗号化、トークン化、アクセスコントロールを使用してデータを保護します。
• データに人が直接アクセスするのを減らす: ツールや自動化を利用して、人が直接データやサーバーにアクセスする（SSH接続など）必要性を減らし、人為的ミスやデータ漏洩のリスクを軽減します。
• セキュリティイベントに備える: インシデント管理プロセスを確立し、自動化されたアラートをトリガーとして、セキュリティイベントへの対応を自動化します。

セキュリティの対応領域と主要サービス

1. 権限管理 (Identity and Access Management)

   • 誰が何にアクセスできるかを制御します。
   • 主要サービス: AWS IAM, AWS STS, AWS Organizations など。多要素認証 (MFA) の有効化も重要です。

2. 検出制御 (Detective Controls)

   • 潜在的なセキュリティインシデントを特定し、ログを記録します。
   • 主要サービス: AWS CloudTrail, Amazon CloudWatch, Amazon GuardDuty, AWS Security Hub など。

3. インフラストラクチャ保護 (Infrastructure Protection)

   • ネットワーク境界やコンピューティングリソースを保護します。
   • 主要サービス: Amazon VPC (セキュリティグループ, NACL), AWS WAF, AWS Shield, Amazon Inspector など。

4. データ保護 (Data Protection)

   • データの分類と、保管時 (at rest) および転送時 (in transit) の暗号化を行います。
   • 主要サービス: AWS KMS, AWS CloudHSM, AWS Certificate Manager (ACM), Amazon Macie など。

試験では、IAMによる最小権限の付与、KMSによるデータ暗号化、CloudTrailによるAPIコールの監査などが、セキュアなアーキテクチャ設計の基本として問われます。