海外に学ぶSMBのクラウドセキュリティ基礎(総論編)(1)および(2)に引き続き、今回から、シンガポールサイバーセキュリティ庁のサイバーエッセンシャルズおよびサイバートラストマークに基づいて開発されたクラウドサービスプロバイダー(CSP)固有のガイドを紹介していく。
最初に取り上げるのは、エンタープライズユーザーを対象とするサイバートラストマークに準拠した「AWS Cloud Companion Guide for Cyber Trust – Jointly developed with AWS」(https://d1.awsstatic.com/whitepapers/compliance/CSA_Cyber_Trust_mark_certification_Cloud_Companion_Guide.pdf)(2023年10月13日公表)である。このAWS版ガイドは、以下のような構成になっている。
- イントロダクション
- 本ガイドの使用方法
- あなたはWell-Architectedですか?
- AWS責任共有モデル
- AWSサービスおよび機能のCyber Trustドメインへのマッピング
- B8. ドメイン:資産管理
- B9. ドメイン:データ保護とプライバシー
- B10. ドメイン:バックアップ
- B12. ドメイン:システムセキュリティ
- B13. ドメイン:ウイルス対策/マルウェア対策
- B14. ドメイン:セキュアソフトウェア開発ライフサイクル (SDLC)
- B15. ドメイン:アクセス制御
- B16. ドメイン:サイバー脅威管理
- B18. ドメイン:脆弱性評価
- B20. ドメイン:ネットワークセキュリティ
- B21. ドメイン:インデント対応
- B22. ドメイン:事業継続と災害復旧
- 結論
CSAサイバートラストマーク認証のためのクラウドコンパニオンガイドは、あらゆる規模の組織がAWS特有のサービスを導入して効果的なセキュリティ管理を達成できるよう支援することを目的としている。AWS上で利用可能なセキュリティサービスおよびツールと、それに適用される管理を理解することにより、ユーザーはAWS上で安全なワークロードおよびアプリケーションを構築することができるとしている。
サイバートラスト向けコンパニオンガイドは、総計22のサイバーセキュリティ対応準備ドメインを設定しているが、このAWS版ガイドでは、SMBユーザーを考慮して、上記の通り12のドメインに絞り込んでいる点が特徴だ。以下では、AWS版ガイドが推奨する具体的なセキュリティ管理策および関連するAWSサービス(2023年10月時点で提供しているもの)を挙げる。
情報資産保護
B.8 資産管理:
このドメインの目的は、組織内のハードウェアおよびソフトウェア資産を特定し、追跡することによって、サイバーセキュリティ対策およびプロセスが資産ライフサイクル全体で実装されるよう保証することにある。積極的な資産管理により、組織はリスクを監視し、環境内における資産の制御を可能にして、許可された資産のみが使用およびインストールされるようにする。
・B.8.1. 組織は、環境内に存在するハードウェアおよびソフトウェアを特定し、一般的なサイバー脅威から保護している。
(関連するAWSサービス)AWS Config、AWS Cost and Usage Reports (CUR)
・B.8.4. 組織は、ハードウェアおよびソフトウェアを機密性および/または機微度レベルに従って分類および処理するプロセスを確立し、実装している。これにより、それらが適切なセキュリティと保護を受けることを保証する。
(関連するAWSサービス)ユーザーのAWSリソースのタグ付け
・B.8.6. 組織は、適切な、業界で認識されている資産ディスカバリーツールを確立し、実装している。これにより、ネットワークに接続されている資産をスキャンして検出し、すべての資産が安全に管理されることを保証する。
(関連するAWSサービス)AWS Systems Manager Inventory
・B.8.9. 組織は、ハードウェアおよびソフトウェア資産を追跡して管理するために、適切な、業界で認識されている資産インベントリ管理システムの使用を確立し、実装している。これにより、正確性を確保し、見落としを避けることができる。
(関連するAWSサービス)AWS Config
B.9. データ保護とプライバシー:
このドメインの目的は、組織環境内のビジネスに重要なデータが特定され、追跡されることによって、サイバーセキュリティ対策およびプロセスが資産ライフサイクル全体で実施されるようにすることである。また、データの収集や処理、転送、保存が安全に行われ、不正アクセスや漏えいから保護されることを保証する。
・B.9.5. 組織は、リスク分類を行い、機密性および機微度レベルに従ってビジネスに重要なデータ(個人データ、企業秘密、知的財産など)を取り扱うためのポリシーおよび手順を確立し、実装している。これにより、データが適切なセキュリティおよび保護を受けることを保証する。
(関連するAWSサービス)Amazon Macie
・B.9.11. 組織はデータを保護するために暗号化を使用しており、暗号鍵管理ライフサイクル全体で鍵が安全に取り扱われることを保証するための暗号化ポリシーおよびプロセスを確立し、実装している。
(関連するAWSサービス)AWS Key Management Service
・B.10.3. 組織は、自動化されたバックアッププロセスを確立し、実装している。これにより、バックアップタスクが確実に実行され、人間の介入が不要になる。
(関連するAWSサービス)AWS Backup、Amazon EBS Snapshots、AWS Backup Vault Lock
B.10. バックアップ:
このドメインの目的は、情報資産が定期的に、安全かつ一貫した方法でバックアップされることを確保し、サイバーセキュリティインシデントやデータ侵害インシデントが発生した場合に、組織がシステムおよびデータを復旧・回復できるようにすることである。
・B.10.3. 組織は、自動化されたバックアッププロセスを確立し、実装している。これにより、バックアップタスクが確実に実行され、人間の介入が不要になる。
(関連するAWSサービス)AWS Backup
・B.10.4. 組織は、バックアップ計画を確立し、実装している。これには、バックアップの種類、頻度、および保存方法が含まれており、組織内のビジネスに重要なデータをバックアップするための手順が明確にされる。
(関連するAWSサービス)Amazon EBS Snapshots
・B.10.6. 組織は、バックアップの状態を定期的にレビューし、失敗したバックアップジョブに対処し、修正するためのポリシーおよび手順を確立し、実装している。
(関連するAWSサービス)Amazon S3 Object Lock、AWS Backup Vault Lock
B.12. システムセキュリティ:
このドメインの目的は、サイバーセキュリティ対策と保護策を実施および維持し、組織のシステムを保護することである。これらの対策と保護策には、セキュアな構成、ログ記録、更新およびパッチ適用が含まれる。
・B12.3. 組織は、更新プログラムおよびパッチがインストールされた後の監視を実施し、影響や悪影響がタイムリーに特定および修正されるようにしている。
(関連するAWSサービス)AWS Systems Manager/Patch Manager
・B.12.6. 組織は、更新およびパッチを安全にテストしインストールして、悪影響がないことを確認するためのパッチ管理プロセスを定義し、適用している。
(関連するAWSサービス)AWS Systems Manager/Patch Manager
・B.12.9. 組織は、未承認のアクセスからログを保存、保持および削除するための要件、ガイドライン、および詳細な手順を含むセキュアなログポリシーおよび手順を確立し、実装している。
(関連するAWSサービス)AWS Systems Manager/Patch Manager
・B.12.10. 組織は、システムが優先度に従って定義された期間内にパッチまたは更新されることを確保するための要件、ガイドライン、および詳細な手順を含むポリシーおよび手順を確立し、実装している。
(関連するAWSサービス)Guidance for Log Storage on AWS
・8.12.11. 組織は、システムの構成が望ましい一貫した状態で維持されることを保証するために、業界で適切かつ認知された構成管理ツール/ソリューションを実装している。
(関連するAWSサービス)AWS Security Hub
・8.12.12. 組織は、システムの構成要件が業界のベンチマークや標準、例えばCIS構成ベンチマークと一致することを保証するためのポリシーおよび手順を確立し、実装している。
(関連するAWSサービス)AWS Config
B.13. ウイルス対策/マルウェア対策:
このドメインの目的は、ネットワークを破壊または損傷させる可能性のある悪意のあるソフトウェアを継続的に監視し、防御するために、保護対策および技術が実装、維持、および更新されることを保証することである。このドメインはまた、成功した悪意のあるソフトウェア攻撃を管理するために設置されたプロセスにも対処し、さらなる損害やネットワークおよび環境への拡散を防ぐことを目指している。
・8.13.4 組織は、悪意のあるサイトの閲覧からビジネスを保護するために、Webフィルタリングを確立し、実装している。
(関連するAWSサービス)Amazon Route53 DNS Resolver Firewall、AWS Network Firewall
B.14. セキュアソフトウェア開発ライフサイクル:
このドメインの目的は、システムのソフトウェア開発ライフサイクルにセキュリティ仕様と実践を組み込み、ソフトウェアが安全かつ一貫した方法で開発されることを保証することである。
・B.14.6. 組織は、セキュリティ原則に従うことを確実にするために、システムおよび/またはアプリケーション開発においてセキュリティガイドラインと要件(例:セキュアコーディング)を確立し、実装している。
(関連するAWSサービス)Amazon Inspector
・B.14.7. 組織は、変更や本番環境への展開が安全にレビューおよびテストされるようにするための変更管理ポリシーおよびプロセスを確立し、実装している。また、変更が管理されていることを確認するために、ロールバックプランも用意している。
(関連するAWSサービス)AWS CodeCommit
・B.14.8. 組織は、セキュリティの弱点や脆弱性を特定するために、システムやアプリケーションの展開前にセキュリティテストを実施するためのポリシーおよびプロセスを確立し、実装している。
(関連するAWSサービス)Amazon CodeGuru Security、Amazon CodeWhisperer、AWS Secrets Manager
セキュアなアクセスと環境
B.15. アクセス制御:
このドメインの目的は、組織の資産およびデータへのアクセス管理の制御と正式なプロセスを確立し、従業員、請負業者、および第三者が最小権限の原則に基づいてのみアクセスできるようにし、管理が統制され、一貫した方法で行われることを保証することである。
・B.15.1. 組織は、データおよび資産へのアクセスに関してサイバーセキュリティ対策が確立されていることを確保するために、すべてのサイバーセキュリティ要件を実装している。
(関連するAWSサービス)AWS Identity and Access Management、AWS Identity Center
・B.15.11. 組織は、ユーザーを認証し、役割に基づいてアクセスを許可するための業界で適切かつ認知された特権アクセスソリューションを確立し、実装しており、より効率的で効果的なアクセス管理方法を確保している。
(関連するAWSサービス)Temporary elevated Access with AWS IAM Identity Center
B.16. サイバー脅威管理:
組織は、システムのログ監視およびレビューを実施し、インシデントを調査し、関連する利害関係者に報告する役割と責任を定義し、割り当てている。
・B.16.1. 組織は、システムのログ監視およびレビューを実施し、インシデントを調査し、関連する利害関係者に報告する役割と責任を定義し、割り当てている。
(関連するAWSサービス)Systems Manager/Incident Manager、AWSアカウントの連絡先およびセキュリティ連絡先情報
・B.16.6. 組織は、ログを相関するために中央で保存し、ログの監視をより効果的に行うために、セキュリティ情報およびイベント管理(SIEM)を導入している。
(関連するAWSサービス)SIEM on Amazon OpenSearch Service、Amazon Security Lake、Guidance for Log Storage on AWS、AWS CloudTrail Lake
・B16.7. 組織は、異常を特定するためにシステム上でセキュリティベースラインプロファイルを確立し、実装して分析および監視を行っている。
(関連するAWSサービス)AWS Control Tower、AWS Security Hub、AWS Config
・B.16.9. 組織は、業界で適切かつ認知された高度な分析プロセスおよびソリューションを確立し、実装して、異常なシステムおよびユーザーの行動、ユーザー行動分析を検出している。
(関連するAWSサービス)Amazon GuardDuty
・B.16.11. 組織は、IT環境内に隠れた脅威を積極的に探すための対策とプロセスを確立し、実装している。
(関連するAWSサービス)Amazon Detective
B.18. 脆弱性評価:
このドメインの目的は、脆弱性評価と管理を確立し、組織のネットワークおよびシステムが既知の悪用から安全であることを確保することである。このドメインはまた、システムおよびソフトウェアのセキュリティ脆弱性を識別、評価、緩和、および報告するためのプロセスを確立する。
・B.18.7. 組織は、評価の一環として発見された脆弱性を追跡、レビュー、評価、対処するための対策とプロセスを確立し、実装して、脆弱性がその重大度に応じて修正されていることを確保している。
(関連するAWSサービス)Amazon Inspector、AWS Security Hub、ECR Container Registry (Amazon ECR) Image Scanning、
・B.18.10. 組織は、オープンまたは期限切れ、重大な脆弱性に関する報告と追跡を提供するためのメトリクスと閾値を確立し、ダッシュボードを含む可視性を確保するためのメトリクスと閾値を実装し、確立されたタイムライン内での追跡および修正を提供している。
(関連するAWSサービス)AWS Systems Manager/Patch Manager、Amazon QuickSightソリューションを使用してSystems Managerのパッチとコンプライアンスデータを管理し閲覧する
B.20. ネットワークセキュリティ:
このドメインの目的は、組織のネットワークとデータの機密性およびアクセス可能性を確保するための十分なサイバーセキュリティ対策およびプロセスを確立することである。
・B.20.2. 組織は、ネットワークセキュリティポリシーを強制し、許可されていないユーザーやデバイスが排除されるようにするために、ネットワークへのアクセス制御(許可リストまたは拒否リスト)を設定して実装している。
(関連するAWSサービス)Network Access Control Lists (ACLs)
・B.20.3. 組織は、パケットがより効果的にフィルタリングされるように、基本的なパケットフィルタリングファイアウォールではなくステートフルファイアウォールを使用することを確立し、実装している。
(関連するAWSサービス)Amazon VPC Security Groups
・B.20.6. 組織は、ネットワークセグメンテーションを実行するプロセスを定義および適用して、ネットワークをプライベートネットワークとパブリックネットワークに分離し、プライベートネットワークにはすべてのビジネスに不可欠なデータを保持し、インターネットに接続しないことで、外部の脅威から隔離されるようにしている。
(関連するAWSサービス)AWS Network Firewall
・B.20.11. 組織は、悪意のあるネットワークトラフィックをブロックし、脅威から保護するために、組織のネットワーク上でネットワーク侵入防止システムを確立し、実装している。
(関連するAWSサービス)AWS Web Application Firewall
サイバーセキュリティレジリエンス
B.21. インシデント対応:
このドメインの目的は、組織が正式なインシデント対応計画を策定し、定期的な演習を実施して現在のインシデント管理の設定の有効性を維持することを確実にすることである。これにより、サイバーセキュリティインシデントが発生した場合に、組織がタイムリーかつ専門的に、適切な方法でインシデントを検出、対応、および回復できるようにする。
・B.21.6. 組織は、根本原因を特定できるようにするために、インシデントの調査を実施し証拠を収集するための要件、ガイドラインおよび詳細な手順に関するポリシーと手順を定義および確立している。
(関連するAWSサービス)Systems Manager/Incident Manager
B.22. 事業継続と災害復旧:
このドメインの目的は、組織が重要な資産と業務プロセスを特定し、回復優先順位を設定できるようにすることである。事業継続および災害復旧管理は、組織が混乱に耐え、業務を継続できるようにするために、能力、計画およびテストを開発し、維持して従業員を準備させることを確保する。
・B.22.2. 組織は、高い可用性を必要とする重要な資産を特定し、それらに冗長性を確保するための対策を実施している。
(関連するAWSサービス)AWS Backup
・B.22.5. 組織は、ビジネス継続および災害復旧ポリシーを確立および実施し、要件、役割と責任、ガイドライン(復旧時間目標(RTO)および復旧ポイント目標(RPO)を含む)を定めて、システムの重要度に応じて業務再開が実施できるようにしている。
(関連するAWSサービス)AWS Backup、AWS Elastic Disaster Recovery
・B.22.6. 組織は、サイバーセキュリティインシデントによるものを含む一般的な業務中断シナリオに対処し、回復するためのビジネス継続および災害復旧計画を確立し、実装して、サイバー レジリエンスを確保している。
(関連するAWSサービス)AWS Backup、AWS Elastic Disaster Recovery
・B.22.8. 組織は、ビジネス継続および災害復旧計画の効果を確保するために、少なくとも年に1回、定期的にテストする方針とプロセスを確立し、実装している。
(関連するAWSサービス)AWS Fault Injection Simulator
なお、AWS版ガイドでは、追加的リソースとして、以下の3つを挙げている。
•AWS Architecture Center
https://aws.amazon.com/architecture/
•AWS Security Reference Architecture
https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html
•AWS Compliance Programs
https://aws.amazon.com/compliance/programs/
CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司