Zenn
Open4

クラウドサービス提供におけるセキュリティ対策

Security
dehio3dehio3
セキュリティの脅威やリスク 説明 具体的な対策 AWSサービス サービス内の機能
内部不正 社内の従業員や関係者による故意または過失による不正行為。 セキュリティポリシーの策定 - -
役割と責任の定義 - -
アカウント乗っ取り 不正アクセスによりアカウントが乗っ取られる攻撃。 最小権限の原則 AWS IAM ポリシー、ロール、ユーザー、グループ
多要素認証(MFA) AWS IAM MFAデバイス
定期的なアクセスレビュー AWS IAM アクセスアドバイザー
クレデンシャル詐取 フィッシングや他の手法を用いてユーザーの認証情報を盗む攻撃。 多要素認証(MFA) AWS IAM MFAデバイス
データ漏洩 敏感なデータが不正に流出すること。 データ暗号化 AWS KMS キーマテリアル、キーポリシー
AWS Secrets Manager シークレットの管理、ローテーション
AWS Certificate Manager 証明書の発行、管理
ランサムウェア データを暗号化して身代金を要求するマルウェア攻撃。 バックアップとリカバリ AWS Backup バックアッププラン、バックアップルール
Amazon S3 Glacier データアーカイブ、リストア
DDoS攻撃 サービスを利用不能にするために大量のトラフィックを送る攻撃。 ファイアウォールとIDS/IPS AWS WAF ルール、ウェブACL、マネージドルール
AWS Shield 標準保護、アドバンスト保護
AWS Network Firewall ステートフルルール、ステートレスルール
中間者攻撃(MITM) 通信を傍受し、改ざんする攻撃。 VPN AWS Client VPN クライアント設定、VPNエンドポイント
AWS Site-to-Site VPN トンネル、VPN接続
クロスサイトスクリプティング(XSS) 悪意のあるスクリプトをユーザーのブラウザで実行する攻撃。 セキュアコーディング AWS WAF マネージドルール
静的コード解析と動的コード解析 AWS CodeGuru CodeGuru Reviewer、CodeGuru Profiler
SQLインジェクション SQLクエリを操作してデータベースに不正アクセスする攻撃。 セキュアコーディング AWS WAF マネージドルール
静的コード解析と動的コード解析 AWS CodeGuru CodeGuru Reviewer、CodeGuru Profiler
全般的な脆弱性 様々な種類の脆弱性を利用した攻撃。 ペネトレーションテスト AWS Marketplaceのサードパーティペネトレーションテストサービス -
インシデントレスポンスの遅延 インシデント対応が遅れることによる被害の拡大。 インシデント対応計画の策定 AWS Config ルール、コンプライアンスパック
インシデント対応訓練 - -
不正アクセス 認可されていないユーザーがシステムにアクセスすること。 ログの収集と分析 AWS CloudTrail ログイベント、ログファイル
異常なアクティビティ 正常ではない異常なシステムアクティビティ。 ログの収集と分析 Amazon CloudWatch メトリクス、ログ、アラーム
AWS CloudTrail Insights Insightsイベント
SIEMの導入 AWS Security Hub ファインディング、インサイト
Amazon GuardDuty ファインディング、RDSログインイベント、Kubernetes監査ログ
規制違反 規制や法令に違反する行為。 コンプライアンス準拠 AWS Artifact レポート、認証
定期監査 AWS Config ルール、コンプライアンスパック
AWS Audit Manager フレームワーク、評価
フィッシング 騙してユーザーの個人情報を取得する攻撃。 セキュリティトレーニング AWS Training and Certification トレーニングコース、認定試験
サプライチェーン攻撃 サプライチェーン内の脆弱性を利用した攻撃。 ベンダー評価 AWS Marketplaceのサードパーティ評価サービス -
サプライチェーンの監視 AWS Config ルール、コンプライアンスパック
物理的侵入 物理的な手段を用いた侵入。 データセンターのセキュリティ - -
オフィスのセキュリティ - -
脆弱性放置 既知の脆弱性が放置され、攻撃のリスクが高まること。 セキュリティ評価の実施 AWS Inspector 評価テンプレート、評価レポート
継続的な改善 AWS Trusted Advisor ベストプラクティスチェック
AWS Security Hub ファインディング、インサイト
Amazon ECR イメージスキャン
パッチ管理 AWS Systems Manager パッチマネジメント
サーバーサイドリクエストフォージェリ(SSRF) 攻撃者がサーバーにリクエストを送信し、内部システムへのアクセスを試みる攻撃。 ファイアウォールとIDS/IPS AWS WAF ルール、ウェブACL、マネージドルール
マルウェア検知 システムに潜むマルウェアを検出する攻撃。 マルウェア保護 Amazon GuardDuty マルウェア保護(S3、EBS)
dehio3dehio3

クラウドサービス提供における情報セキュリティ対策ガイドライン

https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd245620.html

SaaS事業者向けの情報セキュリティ対策(ChatGPTで要約)

運用における情報セキュリティ

情報セキュリティ監視手順の策定

  • 目的: アプリケーションやシステムの正確かつセキュリティを保った運用を確実にする。
  • 具体的対策:
    • 情報セキュリティ監視(稼働監視、障害監視、パフォーマンス監視等)の実施基準・手順等を定めること。
    • クラウドサービスの提供に用いるアプリケーションの運用・管理に関する手順書を作成すること。
  • ベストプラクティス:
    • 運用・管理対象、運用・管理方法(コンピュータの起動・停止の手順、バックアップ、媒体の取扱い、情報セキュリティインシデントへの対応・報告、ログの記録と管理、パフォーマンス監視・評価、システム監査ツールの不正使用の防止等)、運用・管理体制等を明確にする。
    • 管理責任者は、運用・管理報告についてレビューを実施し、必要であれば実施基準・手順等の評価・見直しを行う。

運用管理端末

  • 目的: 運用管理端末のセキュリティを確保する。
  • 具体的対策:
    • 運用管理端末に、許可されていないプログラム等のインストールを行わせないこと。
    • 従業員等が用いる運用管理端末の全ファイルのウイルスチェックを行うこと。

稼働・障害監視

  • 目的: クラウドサービスの稼働監視、障害監視、パフォーマンス監視及びセキュリティインシデント監視を行うこと。
  • 具体的対策:
    • 稼働停止や異常を検知した場合は、クラウドサービス利用者に通知し、適切な対応を行う。

技術的脆弱性の管理

  • 目的: 提供するクラウドサービスに影響を与える可能性のある技術的脆弱性を管理する。
  • 具体的対策:
    • ぜい弱性の診断対象(アプリケーション等)、診断方法(ポートスキャンツールやぜい弱性診断ツールの使用等)、診断時期等の計画を明確にする。
    • 診断の結果、ぜい弱性に対する対策を実施した場合は、対策の実施についての記録を残す。
    • クラウドサービスの提供に用いるアプリケーションについて、開発段階からぜい弱性診断を行うこと等により、導入前にあらかじめぜい弱性対策を実施しておくこと。

システム及び情報の完全性

  • 目的: アプリケーションやシステム、情報資産のセキュリティを確実にする。
  • 具体的対策:
    • 電子データの原本性確保を行うこと。
    • 許可されていない不正なコード実行からシステムメモリを保護するために、セキュリティ対策を実施する。
    • セキュリティ侵害の検知と対策を行う。

イベントログの取得と管理

  • 目的: 利用者の活動、例外処理、過失及び情報セキュリティ事象を記録したイベントログを取得し、保持し、定期的にレビューすること。
  • 具体的対策:
    • クラウドサービス利用者の利用状況、例外処理及び情報セキュリティ事象の記録として何を取得するか、取得した記録の保管期間、取得した記録の保管方法等を明確にする。

責任共有モデル

SaaS事業者とクラウドサービス利用者の責任分担

  • SaaS事業者は、クラウドインフラのセキュリティと運用管理の責任を持ち、クラウドサービス利用者は、アプリケーションデータのセキュリティとアクセス管理の責任を持つ。
  • クラウドサービス事業者と利用者が協力してセキュリティ対策を実施し、責任を共有する。