AWS クラウドセキュリティ

クラウドの力を借りたセキュリティでデータを保護します。

パートナー

クラウドセキュリティは AWS の最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすよう構築されたデータセンターとネットワークアーキテクチャを利用できます。

AWS クラウドの利点は、お客様が安全な環境を維持しながらその環境をスケーリングし、進化させることを可能にすることです。実際に使用したサービスに対してのみ料金が発生するため、事前の投資なしで必要なセキュリティを獲得でき、オンプレミス環境よりもコストを削減できます。

アカウント管理やアクセス制限を厳密に実施できる上、個々の操作ログを特別な手間をかけることなく取得できるため、高いセキュリティの確保が可能です。

栄藤稔様株式会社 NTTドコモ　執行役員イノベーション統括部長

Twitter でフォローしてください

AWS セキュリティの利点

管理性とプライバシーの向上 – すべてをより低コストで

安全なクラウドコンピューティング — **データの保護**

AWS インフラストラクチャでは、お客様のプライバシーを保護するための、強力な安全対策が用意されています。すべてのデータは安全性が非常に高い AWS データセンターに保存されます。

AWS コンプライアンス — **コンプライアンスの要件に準拠**

AWS では、インフラストラクチャ内で数多くのコンプライアンスプログラムを管理できます。つまり、コンプライアンスの一部は最初から達成されています。

**コスト削減**

AWS データセンターを利用することでコストを削減できます。独自の施設を管理することなく、最高のセキュリティ基準を維持できます。

**迅速なスケーリング**

AWS クラウドの使用量に合わせてセキュリティをスケーリングできます。ビジネスの規模に関わらず、AWS インフラストラクチャによってデータが保護されます。

グローバルインフラストラクチャ

AWS クラウドは世界中の 16 の地理的リージョン内における 42 のアベイラビリティーゾーンで運用されており、さらに 3 つのリージョンと 8 つのアベイラビリティーゾーンが追加される予定です。

リージョンおよびアベイラビリティーゾーンの数

AWS GovCloud (2)

米国西部
オレゴン (3)、北カリフォルニア (3)

米国東部
バージニア北部 (5)、オハイオ (3)

カナダ
中部 (2)

南米
サンパウロ (3)

欧州
アイルランド (3)、フランクフルト (2)、ロンドン (2)

アジアパシフィック
シンガポール (2)、シドニー (3)、東京 (3)、ソウル (2)、ムンバイ (2)

中国
北京 (2)

新しいリージョン (近日追加予定)

パリ

寧夏

ストックホルム

リージョン間レプリケーションによる継続性の向上

アベイラビリティーゾーンを使用した同一リージョン内の複数のデータセンター間でのアプリケーションやデータのレプリケーションに加えて、地理的リージョンを越えたデータレプリケーションにより冗長性と耐障害性を増大させることも選択できます。

コンプライアンスおよびデータレジデンシー要件を満たす

データが物理的に存在するリージョンについてはお客様が完全な管理権と所有権を保持するため、地域的なコンプライアンス要件およびデータレジデンシー要件を満たすことは簡単です。

地理的拡張

AWS クラウドでは、中国の寧夏、フランスのパリ、スウェーデンのストックホルムの 3 つの新しい地理的リージョンで 8 つの新しいアベイラビリティーゾーンを開設する計画を発表しました。

ユーザーにやさしいコンプライアンス

コンプライアンスに費やす時間を削減し、ビジネスにより時間をかけることができる

脆弱性レポート

専門的なガイダンス

すべてのステップで AWS の専門的なサポートネットワークを利用できます

セキュリティサポート

AWS Trusted Advisor によるリアルタイムのインサイト

Technical Account Manager (TAM) による積極的なサポートと提案

詳細 »

プロフェッショナルサービス

高度なセキュリティソリューションを構築するための戦略的アドバイス

セキュリティ運用戦略でセキュリティ問題を検出して対応

詳細 »

セキュリティプラットフォーム

インフラストラクチャのセキュリティ
AWS では、プライバシーを高めネットワークアクセスをコントロールするため、いくつかのセキュリティ機能とサービスが用意されています。具体的には次のとおりです。

Amazon VPC に組み込まれたネットワークファイアウォールと、AWS WAF のウェブアプリケーションファイアウォール機能でプライベートネットワークを作成し、インスタンスとアプリケーションへのアクセスを制限

全サービスに共通した TLS による転送時の暗号化

オフィスやオンプレミス環境からのプライベートまたは専用接続を可能にする接続オプション
DDoS の緩和

クラウドでは可用性が最も重要です。AWS のお客様は AWS サービスの利点や組み込みのテクノロジーを基礎から活用して、DDoS 攻撃に対する耐障害性を実現しています。

AWS サービスの組み合わせを使用して深層防御戦略を実装し、DDoS 攻撃を阻止することができます。DDoS への自動応答を行うように設計されたサービスは、影響の軽減や削減までの時間を最小化するうえで役立ちます。

分散サービス妨害攻撃の軽減のための、Auto scaling、Amazon CloudFront、Amazon Route 53 といった AWS テクノロジーの使い方に関する詳細を確認。

DDoS の詳細 »
データの暗号化
AWS にはスケーラブルで効果的な暗号化機能が提供されており、クラウド内に保管中のデータのセキュリティをより一層強化できます。これには以下が含まれます。

EBS、S3、Glacier、Oracle RDS、SQL Server RDS、および Redshift といった、AWS のストレージおよびデータベースサービスに利用できる、データの暗号化機能

暗号化キーを AWS 側で管理するか、完全に自分で管理するかを選択できる、AWS Key Management Service などの柔軟なキー管理オプション

コンプライアンスの要件を満たすことを可能にする、AWS CloudHSM を使用した専用の、ハードウェアベースの暗号化キーストレージ

さらに、AWS には、AWS 環境内でお客様が開発またはデプロイされたどのサービスにも暗号化とデータ保護を統合できる API が用意されています。
インベントリおよび設定
AWS には、クラウドリソースを組織の標準とベストプラクティスに準拠させつつスピードを向上させるため、幅広いツールが用意されています。これには以下が含まれます。

アプリケーションの脆弱性やベストプラクティスからの逸脱で、影響を受けるネットワーク、OS および接続されたストレージなどを自動的に評価できる、セキュリティ評価サービスの Amazon Inspector

AWS リソースの作成と廃棄を組織の標準に従って管理するためのデプロイツール

AWS リソースを判別し、それらリソースへの変更を長期的に追跡管理する、AWS Config などのインベントリおよび設定管理ツール

標準的な事前設定環境を作成するための、AWS CloudFormation などのテンプレート定義および管理ツール
モニタリングとロギング
AWS には、お客様の AWS 環境で何が起きているかを正確に把握できるツールと機能が用意されています。これには以下が含まれます。

AWS CloudTrail による、呼び出しの実行者、内容、発生地点など、API 呼び出しに対する高い可視性

調査とコンプライアンスレポートを容易にするログ収集オプション

Amazon CloudWatch による、特定のイベント発生時またはしきい値超過時のアラート通知

これらのツールと機能によって、ビジネスに影響が及ぶ前に問題点を特定できる可視性が得られ、環境のセキュリティ体制を向上させ、リスクプロファイルを減少させることができます。
ID およびアクセスの管理
AWS では、AWS サービス全体に対してユーザーアクセスポリシーを定義し、適用し、管理できます。これには以下が含まれます。

個々のユーザーアカウントに AWS リソース全体でのアクセス許可を定義可能にする AWS Identity and Access Management (IAM)

ハードウェアベースの認証システムに向けたオプションを含む、特権アカウントに向けた AWS Multi-Factor Authentication

社内ディレクトリとの統合および連携によって管理コストを削減し、エンドユーザーエクスペリエンスを向上できる AWS Directory Service

AWS では、多くのサービスについてネイティブな Identity and Access Management の統合、およびお客様のアプリケーションやサービスとの API 統合を実現しています。
侵入テスト
任意の AWS リソースへの、または AWS リソースからの侵入テストの承認をリクエストするには、AWS 脆弱性/侵入テストリクエストフォームに必要事項を記入して、送信してください。侵入テストのリクエストに関して注意すべき複数の重要事項があります。

すべての侵入テストに許可が必要です。

許可をリクエストするには、テストを希望するインスタンスに関連付けられているルート認証情報を使用して、AWS ポータルにログインする必要があります。これを行わないと、フォームが正しく事前入力されません。サードパーティーにテストの実施を依頼する場合は、フォームに必要事項を記入して、AWS から承認が下りた時点でサードパーティーに通知することをお勧めします。

AWS のポリシーでは、お客様が所有する EC2 と RDS のインスタンスのテストのみが許可されます。AWS の他のサービスや、AWS で所有しているリソースに対するテストは禁止されています。

現時点において、当社のポリシーでは、スモール RDS インスタンスまたはマイクロ RDS インスタンスのテストは許可されていません。m1.small または t1.micro の EC2 インスタンスのテストは許可されていません。これは、他のお客様と共有する可能性のあるリソースのパフォーマンスに悪影響が及ぶ可能性を未然に防ぐためです。

AWS パートナーネットワークを使用して

APN パートナーは、お客様のオンプレミス環境にある既存のコントロールと同等または同一の、あるいはそのコントロールと統合できる、業界のトップ製品を多数提供しています。これらの製品は、既存の AWS のサービスを補完することで、クラウド環境とオンプレミス環境の両方で包括的なセキュリティアーキテクチャとよりシームレスな体験のデプロイを可能にしています。

CloudPassage® Halo® は、自動化サーバーおよびクラウドワークロードセキュリティ用のプラットフォームで、簡便な視覚化機能や継続的保護機能を備えています。 »

Sumo Logic の専用 SaaS サービスは、組織が KPI を設定し、必要に応じて拡張してログおよびデータを取得、監査、分析することを可能にする »

Fortinet on AWS は、AWS クラウドで動作しているワークロードに、エンタープライズレベルのセキュリティを提供します。 »

Cloud Checkr は、発見、チェック、アラート作成を自動化し、ユーザーの環境の可視性と制御を維持するソリューションを提供 »

Sophos は、AWS の規模に合わせた UTM レイヤードセキュリティを低コストで提供 »

ワークフロー内での Chef Compliance サーバーの使用により、インフラストラクチャおよびアプリケーションが規制や組織の要件を確実に満たせるようになります。 »

Tenable は、AWS 環境の脆弱性、コンプライアンス、脅威のスキャンに対して事前認証を取得 »

Trend Micro は、AWS にシームレスに統合され、パフォーマンスを低下させずにワークロードを保護する包括的なセキュリティを提供 »

Splunk® は、組織が外部からの攻撃を検出して対応できる分析主体のセキュリティソリューションを提供 »

Alert Logic は、完全マネージド型でクラウドベースの、ハイブリッド IT インフラストラクチャ向けセキュリティおよびコンプライアンスソリューションスイートを提供 »

詳細 »

AWS クラウドセキュリティの詳細をお知りになりたいですか?

お問い合わせ »

あらゆる規模の組織は、俊敏性があり、スケーラブルで安全なクラウドインフラストラクチャを実現している AWS にワークロードを移行しています。多くの場合、このようなワークロードには特有のセキュリティニーズがありますが、そのニーズに応じて AWS のセキュリティパートナーがお客様に対応します。AWS のセキュリティは責任共有モデルで、お客様ごとに異なる方法で適用されます。必要な成果を達成するには、パートナーおよび AWS とお客様が連携する必要があります。

インフラストラクチャが成長するにつれて拡張する設計に基づいて、AWS 向けに構築、自動化されたスケーラブルなセキュリティソリューションをデプロイするために、以下の主なセキュリティパートナーは役立ちます。

主な APN パートナーを見る