Eiji Sasahara, Ph.D., MBA 笹原英司, profile picture
Uploaded byEiji Sasahara, Ph.D., MBA 笹原英司
31 views

シンガポールのAWSユーザー向けセキュリティガイドに学ぶ管理策 March 14, 2025

1. シンガポールのサイバーセキュリティ認証制度 2. サイバートラストマーク管理策とCCMv4のマッピング(スタートアップ/小規模組織のケース) 3. スタートアップのAWSユーザー向けクラウドセキュリティ管理策事例 4. まとめ

Embed presentation

@esasahara Cloud Security Alliance Kansai Chapter Health Information Management WG  シンガポールのAWSユーザー向け セキュリティガイドに学ぶ管理策 March 14, 2025
2 AGENDA • 1. シンガポールのサイバーセキュリティ認証制度 • 2. サイバートラストマーク管理策とCCMv4のマッピング (スタートアップ/小規模組織のケース) • 3. スタートアップのAWSユーザー向け クラウドセキュリティ管理策事例 • 4. まとめ
3 AGENDA • 1. シンガポールのサイバーセキュリティ認証制度 • 1-1.デジタルアクセラレーションインデックス(DAI)に基づくデジタル成熟度指標 • 1-2. 組織のデジタル成熟度に応じたクラウドユーザーの分類 • 1-3. サイバーエッセンシャルズ/サイバートラストとクラウドセキュリティ コンパニオンガイドの関係 • 1-4. 組織がクラウドに移行する際の重要なシフトと課題 • 1-5. サイバーエッセンシャルズマークの責任共有モデル(SaaSユーザー向け) • 1-6. サイバートラストマークのセキュリティ管理策 • 1-7. 組織のデジタル成熟度に応じたサイバートラストマークの追加セキュリティ 管理策
1-1. デジタルアクセラレーションインデックス(DAI)に基づく デジタル成熟度指標 出所:Go.gov.sg 「Digital Acceleration Index (DAI) for the Non-Profit Sector」(2024年1月29日)(https://go.gov.sg/dai2024-readbacksession)を基にヘルスケアクラウド研究会作成 デジタル戦略 特定のアウトカムを達成するために、異なるデジタルイニシアティブが一体化する方法を示す行動計画 デジタル化したサービスの提供とオペレーション エンドツーエンドに渡るサービスの提供、オペレーション、サポートプロセスの変革 人間と働き方 デジタルに対応したリーダーシップ、 タレント、ガバナンス、働き方 データと技術 重要な活動を強化し、データの 潜在力を解き放つ技術の実装 新デジタルサービス サービス提供を変革する新たな デジタルサービスの開発 エコシステムの協働 データ、リソース、専門知識を共有する 他のステークホルダーとのパートナー シップ ステークホルダーの オファーとエンゲージ メント オペレーション サポート機能 ベンチマーク Vs ~18,000のデータポイント 急速に動くデジタルトレンドに追いつくための 定期的なアップデート 先導的な大学との パートナーシップ 100人以上のグローバルトピック 専門家による検証 エンドツーエンドのデジタル成熟度フレームワーク 個々の次元はレベル1~4にスコア化される 4つの成熟度ステージ DAIスコア 各次元で、どの ステージが組織 の現状の成熟度 に似ているかを 選択する
1-2. 組織のデジタル成熟度に応じたクラウドユーザーの分類 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 スタートアップ/小規模組織 小規模・中堅組織 中堅・大規模組織 大規模・中堅組織 大規模組織・CSP
6 1-3. サイバーエッセンシャルズ/サイバートラストとクラウドセキュリティ コンパニオンガイドの関係 サイバーエッセンシャルズ|サイバートラスト クラウドセキュリティコンパニオンガイド 組織のサイバーセキュリティ認証向け 国家標準規格 サイバーエッセンシャルズとサイバー トラストに合わせた組織向けの クラウド固有ガイダンス サイバーエッセンシャルズとサイバー トラストに合わせた組織向けの プロバイダー固有ガイダンス プロバイダーのクラウドセキュリティ ベストプラクティスを概説した プロバイダー固有ガイダンス (SMB/スタートアップ) (大企業/重要インフラ) (SaaSセキュリティ) (インフラセキュリティ) (SaaSセキュリティガイド) ・Google Cloud編 ・Microsoft編 ・Alibaba Cloud編 (インフラセキュリティガイド) ・AWS編 ・Huawei編 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成
1-4. 組織がクラウドに移行する際の重要なシフトと課題 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 課題 サイバーセキュリティ 課題 ・クラウドユーザーは、クラウド プロバイダーがすべてのことに 責任を持つと誤解している ・クラウドユーザーとプロバイ ダーは、今や共同責任を引き 受ける 責任共有モデル (SRM) 大量のSaaSサブスクリプション (SaaSスプロール) ビジネス主導SaaS (潜在的なシャドーIT) ・スタンドアロンで、潜在的に サイロ化した管理対象のサブ スクリプションが多くある ・大量のSaaSサブスクリプ ションの管理をスケールする ことは困難である ・異なるビジネスユニットが 直接各自のSaaSを管理 する ・サブスクリプションが組織の サイバーセキュリティプロセス を遵守できない可能性がある ・ビジネスユーザーはクラウド セキュリティのベストプラクティ スを認識していない 組織がクラウドに移行する際の 重要なシフトと サイバーセキュリティ課題
1-5. サイバーエッセンシャルズマークの責任共有モデル (SaaSユーザー向け) 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新) (https://www.csa.gov.sg/our- programmes/support-for- enterprises/sg-cyber-safe- programme/cloud-security-for- organisations) を基にヘルスケアクラウド研究会作成 人々 ハードウェアとソフトウェア データ ウイルス/マルウェア保護 資 産 セ キ ュ ア 化 ・ 保 護 ア ッ プ デ ー ト バ ッ ク ア ッ プ 対 応 アクセス制御 セキュアな構成 ソフトウェア アップデート 不可欠なデータの バックアップ インシデント対応 SaaSユーザー の責任 クラウドプロバイダーの責任 SaaSプロバイダー クラウドインフラスト ラクチャプロバイダー ・SaaS内のデータ クラウドがオンライン時のデータ保証 ・SaaSアプリ ケーションの保護 ・ホストインフラス トラクチャの保護 ・SaaSのユーザー 設定 ・ログ記録の管理 ・アプリケーション レベルの構成 ・ログ記録を実現 する能力 ・ホストインフラス トラクチャの構成 ・SaaSアプリ ケーションの アップデート ・ホストインフラス トラクチャのアップ デート ・SaaS内にある 組織の不可欠な データのバックアップ ・SaaSアプリ ケーションの バックアップ ・ホストインフラス トラクチャのバック アップ SaaSユーザーの責任 クラウドプロバイダーの責任 サイバーエッセンシャルズマークの 責任共有モデル (SaaSユーザー向け)
1-6. サイバートラストマークのセキュリティ管理策 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 サイバーガバナンスと監視 1. ガバナンス 2. ポリシーと手順 3. リスク管理 4. サイバー戦略 5. コンプライアンス 6. 監査 サイバー教育 7. トレーニングと意識向上 8. 資産管理* 9. データ保護とプライバシー* 10. バックアップ* 11. 私物端末の業務利用 (BYOD) 12. システムセキュリティ* 情報資産保護 13. ウイルス対策/マルウェア対策* 14. セキュアソフトウェア開発ライフサイクル (SDLC) サイバーレジリエンス 15. アクセス制御* 16. サイバー脅威管理 17. サードパーティリスクと監視 18. 脆弱性評価 19. 物理的/環境的セキュリティ 20. ネットワークセキュリティ セキュアなアクセスと環境 21. インシデント対応* 22. 事業継続/ 災害復旧 *サイバーエッセンシャルズマークの管理策
1-7.組織のデジタル成熟度に応じたサイバートラストマークの追加セキュリティ 管理策 Tier 5: Advocate 大規模組織・クラウドプロバイダー Tier 4: Performer 大規模・中堅組織 Tier 3: Promoter 中堅・大規模組織 Tier 2: Practitioner 小規模・中堅組織 Tier 1: Supporter スタートアップ/小規模組織 4. サイバー戦略 14.セキュアソフトウェア開発 ライフサイクル(SDLC) 17.サードパーティリスクと管理 6. 監査 11.私物端末の業務利用(BYOD) 16.サイバー脅威管理 1. ガバナンス 2. ポリシーと手順 18.脆弱性評価 19.物理的/環境的セキュリティ 20.ネットワークセキュリティ 22. 事業継続/災害復旧 3. リスクマネジメント 5. コンプライアンス 7. トレーニングと意識向上* 8. 資産管理* 9. データ保護とプライバシー* 10.バックアップ* 12.システムセキュリティ* 13.ウイルス対策/マルウェア対策* 15.アクセス制御* 21.インシデント対応* 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 (追加3項目) (追加3項目) (追加3項目) (追加3項目)
11 AGENDA • 2. サイバートラストマークとCCMv4のマッピング (スタートアップ/小規模組織のケース) • 2-1.スタートアップ向けサイバートラストマークとCCMv4のマッピング • 2-2.サイバートラストマークとISO/IEC 27001:2022の マッピング
12 2-1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(1) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング リスク管理プログラム:クラウドセキュリティとプライバシーリスクの特定、評価、所有、 処理、および受容のためのポリシーと手順を含む、正式で、文書化され、リーダーシップ が支援するエンタープライズリスク管理 (ERM) プログラムを確立する。 GRC -02 B.3.1 組織は、環境内のサイバーセキュリティリスクを特定した。これには、 オンプレミスのリスクおよび該当する場合はリモートリスクが含まれる。これに より、特定されたすべてのサイバーセキュリティリスクに対応できるようにする。 B.3 リスク管理 リスク管理プログラム:クラウドセキュリティとプライバシーリスクの特定、評価、所有、 処理、および受容のためのポリシーと手順を含む、正式で、文書化され、リーダーシップ が支援するエンタープライズリスク管理 (ERM) プログラムを確立する。 GRC -02 B.3.2 組織は、ビジネス環境における重要なサイバーセキュリティリスクを分 析し、優先順位を付けるための手順を実行する。これにより、より重要なサイ バーセキュリティリスクが優先的に対処されることを保証する。 情報システムに対する規制へのマッピング:組織に適用されるすべての関連する標準、 規制、法律/契約、および法定要件を特定し、文書化する。 GRC -07 B.5.1 組織は、自社の業務分野に適用されるサイバーセキュリティ関連の 法律、規制、および/またはガイドライン(例:業界特有のもの)を特定し、 それらに準拠するための取り組みを行う。 B.5 コンプライ アンス セキュリティ意識向上トレーニング:組織のすべての従業員に向けたセキュリティ意識向 上トレーニングプログラムを確立、文書化、承認、伝達、適用、評価、維持し、定期的に トレーニングの更新を行う。 HRS -11 B.7.1 組織は、サイバーエッセンシャルズマークのA.1資産:人材に基づき、 すべてのサイバーセキュリティ要求事項を実装して、従業員がサイバー脅威 を特定し、軽減するためのセキュリティ知識と意識を備えることを保証する。 B.7 トレーニング と意識向上 機微性の高い組織および個人データにアクセスするすべての従業員に、適切なセキュリ ティ意識向上トレーニングと、組織に関連する職務についての手順、プロセス、およびポ リシーの定期的な更新を提供する。 HRS -12 エンドポイントのインベントリ:企業データの保存やアクセスに使う全てのエンドポイント をインベントリに保持する。 UE M- 04 B.8.1 組織は、サイバーエッセンシャルズマークのA.2資産:ハードウェアと ソフトウェアに基づき、すべてのサイバーセキュリティ要求事項を実装して、環 境内に存在するハードウェアとソフトウェアが特定され、一般的なサイバー脅 威から保護されることを保証する。 B.8 資産管理 オフサイト機器の廃棄ポリシーと手順:組織の外部で使用される機器を安全に廃棄す るためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。 機器が物理的に破壊されていない場合は、情報の回復を不可能にするデータ破壊手 順が適用されるべきである。ポリシーと手順を少なくとも年1回確認して更新する。 DCS -01 資産の分類:組織のビジネスリスクに基づいて、物理的および論理的な資産(アプリ ケーションなど)を分類して文書化する。 DCS -05 資産のカタログ化と追跡:CSPのすべてのサイトにある関係する物理的および論理的 資産を、セキュアなシステム内でカタログ化し追跡する。 DCS -06 承認されていない変更からの保護:組織の持つ資産への承認されていない追加や削除、 更新、管理などを制限する。 CCC -04 セキュアな廃棄:業界で認められている方法を用いて、ストレージメディアからデータをセ キュアに廃棄し、いかなるフォレンジック手段によってもデータが復元できないようにする。 DSP -02
13 2-1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(2) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング セキュリティおよびプライバシーについてのポリシーおよび手順:データの分類、保護、 取り扱いに関するポリシーおよび手順を、そのライフサイクルを通じて、適用されるすべて の法律および規制、基準、およびリスクレベルに応じて確立し、文書化し、承認し、伝達 し、適用し、評価し、維持する。少なくとも年1回、ポリシーと手順を見直し、更新する。 DSP- 01 B.9.1 組織は、サイバーエッセンシャルズマークのA.3資産:データに 基づき、すべてのサイバーセキュリティ要求事項を実装して、業務に重要 なデータ(個人データ、企業機密、知的財産などを含む)が特定、所 在確認、および保護されることを保証しする。 B.9 データ保護と プライバシー データインベントリ:少なくとも機微なデータや個人情報については、データインベントリ を作成し、維持する。 DSP- 03 機微なデータの保護:機微なデータをライフサイクル全体で保護するためのプロセス、 手順、技術的手段を定義し、実装する。 DSP- 17 データの所在地:データが処理またはバックアップされる場所を含む、データの物理的 な場所を特定および文書化するためのプロセス、手順、および技術的な手段を定義し、 実装する。 DSP- 19 データ漏洩防止:管理対象のエンドポイントに、データ漏洩防止(DLP)技術を構成 し、リスクアセスメントに従ったルールを構成する。 UEM- 11 セキュリティ侵害の通知:セキュリティ侵害の通知のためのプロセス、手順、および技術 的措置を定義し実装する。適用されるSLA、法令および規制に従い、関連するサプライ チェーンの侵害を含む、実際のもしくは想定されるセキュリティ違反を報告する。 SEF- 07 B.9.2 組織は、業務に重要なデータ(個人データ、企業機密、知的財 産など)の侵害を報告するためのプロセスを定義し、適用する。また、管 理者、関連当局、関連する個人などの利害関係者に情報を提供し続け ることを保証する。 セキュリティ責任共有モデル(SSRM)ガイダンス:SSRM のサプライチェーンに対す る適用可能性に関する詳細情報を 、CSC に SSRM ガイダンスとして提供する。 STA- 03 B.9.3 クラウドサービスを利用する組織は、データプライバシーとセキュ リティに関して、クラウドサービスプロバイダー(CSP)とのクラウド共有 責任モデルを確立し、実装する(例:CSPとの間で、組織とCSPの明 確な役割と責任を定める契約を締結するなど)。 主要なサービスと契約上の合意:CSP と CSC (テナント) の間のサービス契約には、 少なくとも次の条項について相互に合意した内容を組み込む必要がある: • 提供されるビジネス関係とサービスの範囲、特徴、場所 • 情報セキュリティ要件 (SSRM を含む) • 変更管理プロセス • ロギングおよびモニタリング能力 • インシデント管理とコミュニケーション手順 • 監査および第三者評価を行う権利 • サービスの終了条件 • 相互運用性と移植容易性の要件 • データプライバシー STA- 09
14 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(3) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング バックアップ:クラウドに保存したデータを定期的にバックアップする。バックアップの機 密性、完全性、可用性を確保し、レジリエンスのためにバックアップからのデータ復元を 検証する。 BCR -08 B10.1 組織は、サイバーエッセンシャルズマークのA.8バックアップ:重要な データのバックアップに基づき、すべてのサイバーセキュリティ要件を実装して、 組織の重要なデータがバックアップされ、安全に保存されることを保証する。 B.10 バックアップ 脅威と脆弱性管理ポリシーと手順:脆弱性の悪用からシステムを保護するために、脆 弱性を特定、報告、その修復に優先順位をつけるためのポリシーと手順を策定、文書 化、承認、周知、適用、評価、および維持する。少なくとも年1回、ポリシーと手順を 見直して更新する。 TVM -01 B.12.1 組織は、サイバーエッセンシャルズマークのA.6セキュア/プロテク ト:セキュア構成およびA.7アップデート:ソフトウェア更新に基づき、すべて のサイバーセキュリティ要件を実装して、ハードウェアとソフトウェアが安全で 更新された設定を使用することを保証する。 B.12 システムセ キュリティ 脆弱性の修復スケジュール:特定されたリスクに基づいて脆弱性が特定された場合に、 計画された対応と緊急時の対応の両方を可能にするためのプロセス、手順、技術的手 段を定義、実装、評価する。 TVM -03 変更管理ポリシーと手順:資産が内部で管理されているか、外部で管理(例:外部 委託)されているかに関わらず、アプリケーションやシステム、インフラストラクチャ、設定 など、組織が持つ資産の変更に関連するリスクについて、それを管理するためのポリ シーと手順を確立、文書化、承認、伝達、適用、評価、維持する。 少なくとも年1回は ポリシーと手順をレビューし更新する。 CCC- 01 変更管理技術:資産が内部で管理されているか、外部で管理(例:外部委託)され ているかに関わらず、アプリケーションやシステム、インフラストラクチャ、設定など、組織 が持つ資産の変更に関連するリスクを管理する。 CCC- 03 変更管理のベースライン:組織の持つ資産に関連するすべての承認された変更につい て、変更管理のベースラインを確立する。 CCC- 06 デザイン段階からのデータ保護とデフォルト設定:セキュリティ・バイ・デザインの原則と 業界のベスト・プラクティスに基づいて、システム、製品、およびビジネス・プラクティスを 開発する。 DSP- 07 ネットワークセキュリティ:事業によって正当化される形態で認証、認可された接続に 制限するように、環境間のコミュニケーションをモニタリング、暗号化、制限する。少なく とも年1回構成をレビューし、許可された全てのサービス、プロトコル、ポート、補完的コ ントロールの文書による正当性を文書化し、構成を支持する。 IVS- 03
15 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(4) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング マルウェア対策ポリシーと手順:管理対象資産上のマルウェアから保護するためのポ リシーと手順を策定、文書化、承認、周知、適用、評価、および維持する。少なくとも 年1回、ポリシーと手順を見直して更新する。 TVM- 02 B.13.1 組織は、サイバーエッセンシャルズマークのA.4セキュア化/保護: ウイルスおよびマルウェア保護に基づき、すべてのサイバーセキュリティ要求事 項を実装して、ウイルスなどの悪意あるソフトウェアに対するセキュリティ保護 を確保する。 B.13 ウイルス対策 /マルウェア対策 マルウェア対策による検知及び保護:管理対象のエンドポイントに、マルウェア対策に よる検知および保護に必要な技術やサービスを構成する。 UEM- 09 ソフトウェアファイアウォール:管理対象のエンドポイントに、適切に設定したソフトウェ アファイアウォールを構成する。 UEM- 10 ネットワーク防御:ネットワークベースの攻撃に係る保護、検知、タイムリーな対応の ために、プロセス、手順、多層防御技術を定義、実装、評価する。 IVS- 09 アプリケーションおよびサービスの承認:組織管理のデータへのアクセスや保存の際、 エンドポイントでの使用を許可する、承認済のサービス、アプリケーション、および、ア プリケーションの入手先(ストア)の一覧を定義、文書化、適用、評価を行う。 UEM- 02 セキュリティ侵害の通知:セキュリティ侵害の通知のためのプロセス、手順、および技 術的措置を定義し実装する。適用されるSLA、法令および規制に従い、関連するサ プライチェーンの侵害を含む、実際のもしくは想定されるセキュリティ違反を報告する。 SEF- 07
16 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(5) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング アイデンティティ およびアクセス管理のポリシーと手順:アイデンティティ およびアクセス管理のポリシーと手順を確立、文書化、承認、 周知、実装、適用、評価、および維持する。少なくとも年に1 回、ポリシーと手順を見直して更新する。 IAM-01 8.15.1 組織は、サイ バーエッセンシャルズマー クのA.5セキュア/プロテク ト:アクセス制御に基づき、 すべてのサイバーセキュリ ティ要求事項を実装して、 データと資産へのアクセス 権を持つ者に対するサイ バーセキュリティ対策が整 備されていることを保証す る。 B.15 アクセス 制御 強固なパスワードポリシーと手順:強力なパスワードポリシーと手順を確立、文書化、承認、周知、実装、適用、評価、および維持する。 少なくとも年 1 回、ポリシーと手順を見直して更新する。 IAM-02 アイデンティティ・インベントリ:システムアイデンティティとアクセスレベルの情報を管理、保存、およびレビューする。 IAM-03 最小権限:情報システムへのアクセスを実装するときは、最小権限の原則を採用する。 IAM-05 ユーザ アクセスのプロビジョニング :データと資産へのアクセスの変更を承認、記録、および伝達するためのユーザアクセスプロビジョニ ングのプロセスを定義および実装する。 IAM-06 ユーザ アクセスの変更と取り消し: アイデンティティとアクセスの管理ポリシーを効果的に採用して伝達するために、異動者/退職者の アクセスまたはシステムアイデンティティの変更をタイムリーにプロビジョニング解除または変更する。 IAM-07 特権的なアクセスロールの管理:特権的なアクセスロールと権限が限られた期間のみ付与されることを保証するためのアクセスプロセス を定義および実装し、分離された特権アクセスが極大化するのを防ぐための手順を実装する。 IAM-10 強固な認証:システム、アプリケーション、およびデータ資産へのアクセスを認証するためのプロセス、手順、および技術的手段を定義、 実装、および評価する。これには、少なくとも特権ユーザおよび機密データへのアクセスに対する多要素認証が含まれる。システムアイデ ンティティに対して同等レベルのセキュリティを実現するデジタル証明書または代替手段を採用する。 IAM-14 パスワード管理:パスワードのセキュアな管理のプロセス、手順、および技術的手段を定義、実装、および評価する。 IAM-15 認可メカニズム:データおよびシステム機能へのアクセスが認可されていることを確認するためのプロセス、手順、および技術的手段を 定義、実装、および評価する。 IAM-16 ログの記録:関連するセキュリティ情報を含む監査記録を生成する。 LOG-08 サプライチェーンにおけるサービスアグリーメント準拠:サプライ チェーン全体のすべての CSP に、情報セキュリティ、機密性、アクセス 制御、プライバシー、監査、人事ポリシー、およびサービス レベル要求と適用標準規格に対して、準拠を要求したポリシーを実装する。 STA-12 機密保持契約:計画された間隔で、データの保護と運用の詳細に関する組織のニーズを反映した非開示/機密保持契約の要件を特 定、文書化、およびレビューする。 HRS-10 保護区域ポリシーと手順:オフィス、部屋、施設で安全でセキュアな作業環境を維持するためのポリシーと手順を確立、文書化、承認、 伝達、適用、評価、および維持する。ポリシーと手順を少なくとも年1回確認して更新する。 DCS-03 保護区域における認証:認可された担当者のみに保護エリアへのアクセスを許可し、すべての入口と出口のポイントを物理的なアクセ ス制御メカニズムによって制限し、文書化し、監視する。 組織が適切と見なす期間で定期的にアクセス制御記録を保持する。 DCS-09
17 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(6) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング サービス管理ポリシーと手順:セキュリティインシデントの適時な管理のためのポリシーおよび 手順を確立、文書化、承認、周知、適用し評価、および維持する。少なくとも年1回、ポリ シーと手順をレビューし更新する。 SEF- 02 B.21.1 組織は、サイバーエッセンシャルズマークのA.9対応:インシデント対応に 基づき、すべてのサイバーセキュリティ要求事項を実装して、サイバーセキュリティイン シデントを検出し、対応し、復旧する準備が整っていることを保証する。 B.21 インシデント 対応 インシデント対応計画:セキュリティインシデントレスポンス計画を策定、文書化、承認、周知、 適用、評価、および維持する。本計画には、関連する社内部門、影響を受けるCSC、影響を 受ける可能性のあるその他のビジネス上での重要な関係(サプライチェーン等)が含まれる が、これらに限定されない。 SEF- 03
18 2-2. サイバートラストマーク管理策とISO/IEC 27001:2022のマッピング ISO/IEC 27001:2022 サイバートラストマークの管理策のマッピング 6.1.2 para 1c1 B.3.1 組織は、環境内のサイバーセキュリティリスクを特定した。これには、オンプレミスのリスクおよび該当する場合はリモートリスクが 含まれる。これにより、特定されたすべてのサイバーセキュリティリスクに対応できるようにする。 B.3 リスク管理 6.1.2 para 1d1, 1d2, 1d3, 1e1, 1e2 B.12.1 組織は、サイバーエッセンシャルズマークのA.6セキュア/プロテクト:セキュア構成およびA.7アップデート:ソフトウェア更新に 基づき、すべてのサイバーセキュリティ要件を実装して、ハードウェアとソフ+A1:D8トウェアが安全で更新された設定を使用することを 保証する。 4.2 para 1a, 1b, 1c A5.31, A5.34 B.5.1 組織は、自社の業務分野に適用されるサイバーセキュリティ関連の法律、規制、および/またはガイドライン(例:業界特有の もの)を特定し、それらに準拠するための取り組みを行う。 B.5 コンプライ アンス 7.3 para 1a A5.37, A6.3 B.7.1 組織は、サイバーエッセンシャルズマークのA.1資産:人材に基づき、すべてのサイバーセキュリティ要求事項を実装して、従業 員がサイバー脅威を特定し、軽減するためのセキュリティ知識と意識を備えることを保証する。 B.7 トレーニングと 意識向上 A5.9, A5.10, A5.23, A 7.10, A7.13, A7.14, A8.10 B.8.1 組織は、サイバーエッセンシャルズマークのA.2資産:ハードウェアとソフトウェアに基づき、すべてのサイバーセキュリティ要求事 項を実装し、環境内に存在するハードウェアとソフトウェアが特定され、一般的なサイバー脅威から保護されることを保証する。 B.8 資産管理 A5.10, A5.13, A7.10, A7.14, A8.12, A8.26 B.9.1 組織は、サイバーエッセンシャルズマークのA.3資産:データに基づき、すべてのサイバーセキュリティ要求事項を実装し、業務に 重要なデータ(個人データ、企業機密、知的財産などを含む)が特定、所在確認、および保護されることを保証しする。 B.9 データ保護と プライバシー A5.5, A5.24, A6.8 B.9.2 組織は、業務に重要なデータ(個人データ、企業機密、知的財産など)の侵害を報告するためのプロセスを定義し、適用する。 また、管理者、関連当局、関連する個人などの利害関係者に情報を提供し続けることを保証する。 A5.2, A5.10, A5.20, A5.23, A8.12 B.9.3 クラウドサービスを利用する組織は、データプライバシーとセキュリティに関して、クラウドサービスプロバイダー(CSP)とのクラ ウド共有責任モデルを確立し、実装する(例:CSPとの間で、組織とCSPの明確な役割と責任を定める契約を締結するなど)。 A5.23, A8.13 B10.1 組織は、サイバーエッセンシャルズマークのA.8バックアップ:重要なデータのバックアップに基づき、すべてのサイバーセキュリ ティ要件を実装して、組織の重要なデータがバックアップされ、安全に保存されることを保証する。 B.10 バックアップ A5.8, A8.8, A8.9, A8.26 B.12.1 組織は、サイバーエッセンシャルズマークのA.6セキュア/プロテクト:セキュア構成およびA.7アップデート:ソフトウェア更新に 基づき、すべてのサイバーセキュリティ要件を実装して、ハードウェアとソフトウェアが安全で更新された設定を使用することを保証する。 B.12 システムセ キュリティ A6.8, A8.1, A8.7, A8.19, A8.20, A8.26 B.13.1 組織は、サイバーエッセンシャルズマークのA.4セキュア化/保護:ウイルスおよびマルウェア保護に基づき、すべてのサイバーセ キュリティ要求事項を実装して、ウイルスなどの悪意あるソフトウェアに対するセキュリティ保護を確保する。 B.13 ウイルス対策 /マルウェア対策 A5.15, A5.16, A5.17, A5.18, A5.19, A6.4, A6.6, A7.2, A7.3, A8.2, A8.3, A8.12, A8.18 B.15.1 組織は、サイバーエッセンシャルズマークのA.5セキュア/プロテクト:アクセス制御に基づき、すべてのサイバーセキュリティ要求 事項を実装して、データと資産へのアクセス権を持つ者に対するサイバーセキュリティ対策が整備されていることを保証する。 B.15 アクセス 制御 A5.2, A5.5, A5.24 B.21.1 組織は、サイバーエッセンシャルズマークのA.9対応:インシデント対応に基づき、すべてのサイバーセキュリティ要求事項を実 装して、サイバーセキュリティインシデントを検出し、対応し、復旧する準備が整っていることを保証する。 B.21 インシデント 対応
19 AGENDA • 3. スタートアップのAWSユーザー向け クラウドセキュリティ管理策事例 • 3-1.資産管理(構成管理含む) • 3-2.アクセス制御 • 3-3.脆弱性評価
20 3-1. 資産管理(構成管理含む)(1) セキュリティベストプラクティス AWSサービスの説明 AWSサービス Cyber Trust向けのマッピング # 資産管理: このドメインの目的は、組織内のハードウェアおよびソフトウェア資産を特定し、追跡することによって、サイバーセキュリティ対策およびプロセスが資産ライフサイ クル全体で実装されるよう保証することにある。積極的な資産管理により、組織はリスクを監視し、環境内における資産の制御を可能にして、許可された資産 のみが使用およびインストールされるようにする。 B.8 AWS Configのセキュリティベストプラクティス: •AWS Configのデータ保護 •AWS Configのアイデンティティ/アクセス管理 •AWS Configのログ記録と監視 •Interface Amazon VPC Endpointsを備えたAWS Configの使用 •AWS Configのインシデント対応 •AWS Configのコンプライアンス検証 •AWS Configのレジリエンス •AWS Configのインフラストラクチャセキュリティ •クロスサービスの混乱時の副次的予防 •AWS Configのセキュリティベストプラクティス AWS Configは、AWSアカウント内 のAWSリソースの構成の詳細なビュー を提供する。これには、リソースが互いに どのように関連しているか、および過去 にどのように構成されていたかが含まれ ており、構成や関係性が時間とともにど のように変化するかを見ることができる。 AWS Config 組織は、環境内に存在する ハードウェアおよびソフトウェ アを特定し、一般的なサイ バー脅威から保護している。 B.8. 1 AWSコストおよび使用状況レポートは、AWSの使用状況を追跡 し、アカウントに関連する推定料金を提供する。各レポートには、 AWSアカウントで使用するAWS製品、使用タイプ、および操作 の各組み合わせに対する明細項目が含まれている。 AWSコストおよび使用状況レポート (AWS CUR)には、利用可能な最 も包括的なコストおよび使用状況デー タが含まれている。 AWS Cost and Usage Reports (CUR) タグ付けのためのセキュリティベストプラクティス: •Tag Editorのデータ保護 •Tag Editor向けのアイデンティティ/アクセス管理 •Tag Editorのタグ記録と監視 •Tag Editor向けのコンプライアンス検証 •Tag Editorのレジリエンス •Tag Editorのインフラストラクチャセキュリティ AWSリソースにメタデータをタグの形で 割り当てることができる。各タグは、ユー ザー定義のキーと値から成るラベルであ る。タグはリソースの管理や識別、整理、 検索、フィルタリングに役立つ。リソース を目的や所有者、環境、その他の基準 で分類するためにタグを作成できる。 ユーザーのAWS リソースのタグ付け 組織は、ハードウェアおよび ソフトウェアを機密性および/ または機微度レベルに従って 分類および処理するプロセス を確立し、実装している。これ により、それらが適切なセキュ リティと保護を受けることを 保証する。 B.8. 4
21 3-1.資産管理(構成管理含む)(2) セキュリティベストプラクティス AWSサービスの説明 AWSサービス Cyber Trust向けのマッピング # 資産管理: このドメインの目的は、組織内のハードウェアおよびソフトウェア資産を特定し、追跡することによって、サイバーセキュリティ対策およびプロセスが資産ライフサイ クル全体で実装されるよう保証することにある。積極的な資産管理により、組織はリスクを監視し、環境内における資産の制御を可能にして、許可された資産 のみが使用およびインストールされるようにする。 B.8 インベントリを使用して、管理ノードからメタデータを収集できる。こ のメタデータを中央のAmazon S3バケットに保存し、組み込み ツールを使用してデータをクエリし、どのノードがソフトウェアを実行 しているかや、ソフトウェアポリシーによって要求される構成、更新 が必要なノードを迅速に特定できる。また、複数のAWSリージョン およびAWSアカウントからインベントリデータを構成および表示す ることもできる。 AWS Systems Manager Inventoryは、AWSのコンピューティ ング環境に対する可視性を提供する。 AWS Systems Manager Inventory 組織は、適切な、業界で認 識されている資産ディスカバ リーツールを確立し、実装し ている。これにより、ネットワー クに接続されている資産をス キャンして検出し、すべての資 産が安全に管理されることを 保証する。 B.8. 6 AWS Configのセキュリティベストプラクティス: •AWS Configのデータ保護 •AWS Configのアイデンティティ/アクセス管理 •AWS Configのログ記録と監視 •Interface Amazon VPC Endpointsを備えたAWS Configの使用 •AWS Configのインシデント対応 •AWS Configのコンプライアンス検証 •AWS Configのレジリエンス •AWS Configのインフラストラクチャセキュリティ •クロスサービスの混乱時の副次的予防 •AWS Configのセキュリティベストプラクティス AWS Configは、AWSアカウント内 のAWSリソースの構成の詳細なビュー を提供する。これには、リソースが互いに どのように関連しているかや、過去にどの ように構成されていたかが含まれており、 構成および関係が時間とともにどのよう に変化するかを見ることができる。 AWS Config 組織は、ハードウェアおよびソ フトウェア資産を追跡して管 理するために、適切な、業界 で認識されている資産インベ ントリ管理システムの使用を 確立し、実装している。これに より、正確性を確保し、見落 としを避けることができる。 B.8. 9
22 3-2. アクセス制御(1) アクセス制御: このドメインの目的は、組織の資産およびデータへのアクセス管理の制御と正式なプロセスを確立し、従業員、請負業者、および第三者が最小権限の原則に 基づいてのみアクセスできるようにし、管理が統制され、一貫した方法で行われることを保証することである。 B.15 AWS IAM向けのセキュリティベストプラクティス: •AWSセキュリティクレデンシャル •AWSセキュリティ監査ガイドライン •AWS Identity and Access Managementのデータ保護 •AWS Identity and Access Managementのログ記録と監視 •AWS Identity and Access Management向けのコンプライアンス検 証 •AWS Identity and Access Managementのレジリエンス •AWS Identity and Access Managementのインフラストラクチャセ キュリティ •AWS Identity and Access Managementの構成と脆弱性の分析 •AWS Identity and Access Managementのセキュリティベストプラク ティス •AWS Identity and Access Management Access Analyzer向 けのAWSマネージドポリシー AWS Identity and Access Management (IAM)は、AWSサービスへのアクセスを安全に制御 するためのウェブサービスである。IAMを使用すると、 ユーザー、アクセスキーなどのセキュリティ認証情報、およ びユーザーやアプリケーションがアクセスできるAWSリ ソースを制御する権限を一元管理できる。 AWS Identity and Access Manageme nt 組織は、データおよ び資産へのアクセス に関してサイバーセ キュリティ対策が確 立されていることを 確保するために、す べてのサイバーセ キュリティ要件を実 装している。 B.15 .1 AWS Identity Center向けのセキュリティベストプラクティス •IAM Identity Center向けのアイデンティティ/アクセス管理 •IAM Identity CenterコンソールとAPIの認可 •IAM Identity Centerのログ記録と監視 •IAM Identity Center向けのコンプライアンス検証 •IAM Identity Centerのレジリエンス •IAM Identity Centerのインフラストラクチャセキュリティ IAM Identity Centerは、 Workforce Userを作 成または接続し、AWSアカウントおよびアプリケーション 全体でアクセスを一元管理するための一元的な場所を 提供する。マルチアカウント権限を使用して、ワーク フォースユーザーにAWSアカウントへのアクセスを割り当 てることができる。アプリケーション割り当てを使用して、 ユーザーにIAM Identity Center対応アプリケーショ ン、クラウドアプリケーション、および顧客のセキュリティア サーションマークアップランゲージ(SAML 2.0)アプリ ケーションへのアクセスを割り当てることができる。 AWS Identity Center
23 3-2. アクセス制御(2) アクセス制御: このドメインの目的は、組織の資産およびデータへのアクセス管理の制御と正式なプロセスを確立し、従業員、請負業者、および第三者が最小権限の原則に 基づいてのみアクセスできるようにし、管理が統制され、一貫した方法で行われることを保証することである。 B.15 特権アクセスの詳細については、「Temporary elevated access」を参照 (https://docs.aws.amazon.com/ja_jp/singlesigno n/latest/userguide/temporary-elevated- access.html) AWS IAM Identity Center(AWS Single Sign-Onの後継)は、ベンダー管理およびサポートソ リューション、自主管理および自社サポートソリューション の両方に対して、一時的な権限昇格アクセス管理のオ プションを提供する。 Temporary elevated Access with AWS IAM Identity Center 組織は、ユーザーを 認証し、役割に基 づいてアクセスを許 可するための業界 で適切かつ認知さ れた特権アクセスソ リューションを確立 し、実装しており、よ り効率的で効果的 なアクセス管理方 法を確保している。 B.15 .11
24 3-3. 脆弱性評価(1) 脆弱性評価:このドメインの目的は、脆弱性評価と管理を確立し、組織のネットワークおよびシステムが既知の悪用から安全であることを確保することである。 このドメインはまた、システムおよびソフトウェアのセキュリティ脆弱性を識別、評価、緩和、および報告するためのプロセスを確立する。 B.18 Amazon Inspector向けのセキュリティベストプラクティス: •Amazon Inspectorのデータ保護 •Amazon Inspector向けのアイデンティティ/アクセス管理 •Amazon Inspectorの監視 •Amazon Inspector向けのコンプライアンス検証 •Amazon Inspectorのレジリエンス •Amazon Inspectorのインフラストラクチャセキュリティ •Amazon Inspectorのインシデント対応 Amazon Inspectorは、Amazon Web Services (AWS)のワークロードをソフトウェアの脆弱性や意図しない ネットワークの露出について継続的にスキャンする自動化された脆 弱性管理サービスである。Amazon Inspectorは現在、 Amazon Elastic Compute Cloud(Amazon EC2)イ ンスタンスおよびAmazon Elastic Container Registry (Amazon ECR)に保存されているコンテナイメージの脆弱性 報告をサポートしている。 Amazon Inspector 組織は、評価の一環 として発見された脆弱 性を追跡、レビュー、 評価、対処するための 対策とプロセスを確立 し、実装して、脆弱性 がその重大度に応じ て修正されていること を確保している。 B.18. 7 AWS Security Hubは、以下の標準規格をサポートしている: •AWS Foundational Security Best Practices (FSBP) standard •Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 and v1.4.0 •National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 •Payment Card Industry Data Security Standard (PCI DSS) •Service-managed standards AWS Security Hubは、セキュリティのベストプラクティスチェッ クを実行し、アラートを集約し、自動修復を可能にするクラウドセ キュリティポスチャ管理(CSPM)サービスである。 AWS Security Hub プライベートレジストリのイメージスキャンを設定する際に、すべてのリポジトリをス キャンするか、フィルターを指定してどのリポジトリがスキャンされるかを設定できる。 ベーシックスキャンを使用する場合、プッシュ時のスキャンフィルターを指定して、 新しいイメージがプッシュされたときにイメージスキャンを実行するリポジトリを指 定できる。ベーシックスキャンフィルターに一致しないリポジトリは、手動スキャン頻 度に設定され、スキャンを実行するには手動でトリガーする必要がある。 高度な スキャンを使用する場合、プッシュ時のスキャンと継続スキャンのために別々のフィ ルターを指定できる。高度なスキャンフィルターに一致しないリポジトリは、スキャ ンが無効になる。高度なスキャンを使用して、プッシュ時のスキャンと継続スキャン の別々のフィルターを指定した場合、同じリポジトリに複数のフィルターが一致す ると、Amazon ECRはそのリポジトリに対して継続スキャンフィルターを適用する。 Amazon ECRイメージスキャンは、コンテナイメージ内のソフト ウェアの脆弱性を特定するのに役立つ。 ECR Container Registry (Amazon ECR) Image Scanning
25 3-3. 脆弱性評価(2) 脆弱性評価:このドメインの目的は、脆弱性評価と管理を確立し、組織のネットワークおよびシステムが既知の悪用から安全であることを確保することである。 このドメインはまた、システムおよびソフトウェアのセキュリティ脆弱性を識別、評価、緩和、および報告するためのプロセスを確立する。 B.18 AWS Identity and Access Management (IAM) - IAMを使用して、 どのユーザー、グループ、およびロールがPatch Manager操作にアクセスでき るかを制御する。詳細については、「AWS Systems ManagerのIAMとの連 携方法」および「Systems Managerのインスタンス権限の設定」を参照。 AWS CloudTrail - CloudTrailを使用して、ユーザーやロール、グループに よって開始されたパッチ操作イベントの監査可能な履歴を記録する。詳細につい ては、「AWS CloudTrailでのAWS Systems Manager API呼び出しの 記録」を参照。 AWS Security Hub - Patch Managerからのパッチコンプライアンスデー タをAWS Security Hubに送信できる。Security Hubは、優先度の高いセ キュリティアラートとコンプライアンスステータスの包括的なビューを提供する。また、 フリートのパッチ適用状況を監視します。詳細については、「Patch Managerと AWS Security Hubの統合」を参照。 AWS Config - Patch Manager DashboardでAmazon EC2インスタ ンス管理データを表示するために、AWS Configで記録を設定する。詳細につ いては、「パッチダッシュボードの概要の表示(コンソール)」を参照。 AWS Systems Managerの機能であるPatch Managerは、管理ノードに対するセキュリティ関連の 更新およびその他の種類の更新のプロセスを自動化す る。 AWS Systems Manager / Patch Manager 組織は、オープン または期限切れ、 重大な脆弱性に 関する報告と追跡 を提供するための メトリクスと閾値を 確立し、ダッシュ ボードを含む可視 性を確保するため のメトリクスと閾値 を実装し、確立さ れたタイムライン内 での追跡および修 正を提供している。 B.18. 10 Amazon QuickSight向けのセキュリティベストプラクティス: •データ保護 •アイデンティティ/アクセス管理 •インシデント対応、ログ記録、監視 •コンプライアンス検証 •レジリエンス •インフラストラクチャセキュリティ •ベストプラクティス •AWSマネージドポリシー Amazon QuickSightを使用すると、Systems Manager Inventoryデータのクエリや分析、視覚 化をすることができる。インタラクティブなダッシュボード を公開することも可能である。Amazon Athenaテー ブルデータセットを使用してダッシュボードやウィジェットを 作成し、コンプライアンス情報を表示することができる。 Amazon QuickSight ソリューションを 使用して、 Systems Managerの パッチとコンプ ライアンスデー タを管理し、閲 覧する
26 (参考)シンガポールサイバーセキュリティ庁・アラート • 「Amazon Web Services S3バケットを標的とする進行中のキャンペーン」 (2025年1月23日)(https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-006)
27 AGENDA • 4. まとめ https://www.linkedin.com/in/esasahara https://www.facebook.com/esasahara https://twitter.com/esasahara

More Related Content

PDF
シンガポールのMicrosoft Azure/365/Copilot ユーザー向けセキュリティガイドに学ぶ管理策 August 20, 2025
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
シンガポールのGoogle Workspaceユーザー向けセキュリティガイドに学ぶ管理策 June 4, 2025
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Standardization of Healthcare Cloud Security and Crowdsourcing
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
AWSにおけるセキュリティの考え方
bymorisshi
 
PDF
20190919 よくご相談いただくセキュリティの質問と考え方
byAmazon Web Services Japan
 
PPTX
進むクラウドセキュリティ
byMasahiro Morozumi
 
PDF
Asahikawa_Ict 20120726
bykspro
 
PPTX
Occセキュリティ分科会 河野
byOCC Cloud SECF
 
シンガポールのMicrosoft Azure/365/Copilot ユーザー向けセキュリティガイドに学ぶ管理策 August 20, 2025
byEiji Sasahara, Ph.D., MBA 笹原英司
 
シンガポールのGoogle Workspaceユーザー向けセキュリティガイドに学ぶ管理策 June 4, 2025
byEiji Sasahara, Ph.D., MBA 笹原英司
 
Standardization of Healthcare Cloud Security and Crowdsourcing
byEiji Sasahara, Ph.D., MBA 笹原英司
 
AWSにおけるセキュリティの考え方
bymorisshi
 
20190919 よくご相談いただくセキュリティの質問と考え方
byAmazon Web Services Japan
 
進むクラウドセキュリティ
byMasahiro Morozumi
 
Asahikawa_Ict 20120726
bykspro
 
Occセキュリティ分科会 河野
byOCC Cloud SECF
 

Similar to シンガポールのAWSユーザー向けセキュリティガイドに学ぶ管理策 March 14, 2025

PDF
Oct.18, 2013: Healthcare cafe @CSA-JC Health Information Management Working G...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
ヘルスケア・イノベーション公開勉強会 #1
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
AWS and PCI DSS
byKameda Harunobu
 
PDF
JAWS-UG 情シス支部 #3
byNobuhiro Nakayama
 
PDF
欧州の社会課題解決型イノベーションと個人データ保護
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
Reinforce2021 recap session2
byShogo Matsumoto
 
PPTX
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
byMasanori KAMAYAMA
 
PDF
情報漏洩リスクに備えるサイバーセキュリティ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
クラウドセキュリティの価値と機会
byHayato Kiriyama
 
PDF
Cloud Security Alliance Japan Chapter Health Information Management Working G...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
byオラクルエンジニア通信
 
PDF
Cloud Security Alliance Japan Chapter Big Data Working Group (November 2013)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
クラウドネイティブな組込ソフトウェア開発手法とMLSecOpsへの進化 : 医療機器に学ぶ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
AWSSummitTokyo2017 SRCセッション振り返り
byShogo Matsumoto
 
PPTX
遠隔医療のクラウド利用とリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 
PPTX
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
bymkoda
 
PDF
20250918_TCS_Platform_Engineering_Kaigi.pdf
bymito51
 
PDF
AWS Security Automation in TrendMicro DIRECTION 2016
byHayato Kiriyama
 
PDF
CISO Mind Map v10(日本語版)
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Oct.18, 2013: Healthcare cafe @CSA-JC Health Information Management Working G...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
ヘルスケア・イノベーション公開勉強会 #1
byEiji Sasahara, Ph.D., MBA 笹原英司
 
AWS and PCI DSS
byKameda Harunobu
 
JAWS-UG 情シス支部 #3
byNobuhiro Nakayama
 
欧州の社会課題解決型イノベーションと個人データ保護
byEiji Sasahara, Ph.D., MBA 笹原英司
 
Reinforce2021 recap session2
byShogo Matsumoto
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
byMasanori KAMAYAMA
 
情報漏洩リスクに備えるサイバーセキュリティ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドセキュリティの価値と機会
byHayato Kiriyama
 
Cloud Security Alliance Japan Chapter Health Information Management Working G...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
byオラクルエンジニア通信
 
Cloud Security Alliance Japan Chapter Big Data Working Group (November 2013)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドネイティブな組込ソフトウェア開発手法とMLSecOpsへの進化 : 医療機器に学ぶ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
AWSSummitTokyo2017 SRCセッション振り返り
byShogo Matsumoto
 
遠隔医療のクラウド利用とリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
bymkoda
 
20250918_TCS_Platform_Engineering_Kaigi.pdf
bymito51
 
AWS Security Automation in TrendMicro DIRECTION 2016
byHayato Kiriyama
 
CISO Mind Map v10(日本語版)
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 

More from Eiji Sasahara, Ph.D., MBA 笹原英司

PDF
クラウドワークロードセキュリティと 新FedRAMPガイダンス September 24, 2024
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
コンテナ/マイクロサービス/サーバーレスセキュリティとDevSecOps(組織編)(2024年7月24日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
ハードウェア対応型セキュリティ動向とハイブリッド環境の鍵管理 (2024年4月3日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
医療/ライフサイエンスにおけるデータ損失防止(DLP) (2024年1月23日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
米国トランプ政権下のFedRAMP改革と技術イノベーション September 24, 2025
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
欧州セキュリティ認証制度(EUCC)と CSA STAR/CCM:イタリアのユースケースに学ぶ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
「NISTIR 8320 ハードウェア対応セキュリティ: クラウド・エッジコンピューティングのユースケース向け プラットフォームセキュリティの階層型アプ...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
クラウドワークロードセキュリティと 新興技術評価 -FedRAMP新ガイダンス-
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
「NISTIR 8320C ハードウェア対応セキュリティ:マシンアイデンティティ管理と保護」 初期公開草案概説
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
「NISTIR 8320D ハードウェア対応セキュリティ:ハードウェアベースの秘密計算」初期公開草案概説
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
医療/介護イノベーションの“砂場”に 変貌するシンガポール :シンガポールのクラウドセキュリティ管理手法
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Metaverse and NFTs on the Healthcare Cloud
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
米国大統領令を起点とする医療機器のゼロトラストとSBOM
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
SDGs達成に向けたデジタルヘルスを支えるクラウドネイティブセキュリティ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
ロボット支援手術(RAS)システムの脅威モデリング ~医療ロボットから自動車への横展開~
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
ゲノムデータのサイバーセキュリティとアクセス制御
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
プライバシーエンジニアリング技術標準化の欧米比較
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
医療におけるサードパーティベンダーリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
バイオ/医療サプライチェーンのサイバーセキュリティリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドワークロードセキュリティと 新FedRAMPガイダンス September 24, 2024
byEiji Sasahara, Ph.D., MBA 笹原英司
 
コンテナ/マイクロサービス/サーバーレスセキュリティとDevSecOps(組織編)(2024年7月24日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
ハードウェア対応型セキュリティ動向とハイブリッド環境の鍵管理 (2024年4月3日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
医療/ライフサイエンスにおけるデータ損失防止(DLP) (2024年1月23日)
byEiji Sasahara, Ph.D., MBA 笹原英司
 
米国トランプ政権下のFedRAMP改革と技術イノベーション September 24, 2025
byEiji Sasahara, Ph.D., MBA 笹原英司
 
欧州セキュリティ認証制度(EUCC)と CSA STAR/CCM:イタリアのユースケースに学ぶ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320 ハードウェア対応セキュリティ: クラウド・エッジコンピューティングのユースケース向け プラットフォームセキュリティの階層型アプ...
byEiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドワークロードセキュリティと 新興技術評価 -FedRAMP新ガイダンス-
byEiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320C ハードウェア対応セキュリティ:マシンアイデンティティ管理と保護」 初期公開草案概説
byEiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320D ハードウェア対応セキュリティ:ハードウェアベースの秘密計算」初期公開草案概説
byEiji Sasahara, Ph.D., MBA 笹原英司
 
医療/介護イノベーションの“砂場”に 変貌するシンガポール :シンガポールのクラウドセキュリティ管理手法
byEiji Sasahara, Ph.D., MBA 笹原英司
 
Metaverse and NFTs on the Healthcare Cloud
byEiji Sasahara, Ph.D., MBA 笹原英司
 
米国大統領令を起点とする医療機器のゼロトラストとSBOM
byEiji Sasahara, Ph.D., MBA 笹原英司
 
SDGs達成に向けたデジタルヘルスを支えるクラウドネイティブセキュリティ
byEiji Sasahara, Ph.D., MBA 笹原英司
 
ロボット支援手術(RAS)システムの脅威モデリング ~医療ロボットから自動車への横展開~
byEiji Sasahara, Ph.D., MBA 笹原英司
 
ゲノムデータのサイバーセキュリティとアクセス制御
byEiji Sasahara, Ph.D., MBA 笹原英司
 
プライバシーエンジニアリング技術標準化の欧米比較
byEiji Sasahara, Ph.D., MBA 笹原英司
 
医療におけるサードパーティベンダーリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
バイオ/医療サプライチェーンのサイバーセキュリティリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
byEiji Sasahara, Ph.D., MBA 笹原英司
 

シンガポールのAWSユーザー向けセキュリティガイドに学ぶ管理策 March 14, 2025

  • 1.
    @esasahara Cloud Security AllianceKansai Chapter Health Information Management WG  シンガポールのAWSユーザー向け セキュリティガイドに学ぶ管理策 March 14, 2025
  • 2.
    2 AGENDA • 1. シンガポールのサイバーセキュリティ認証制度 •2. サイバートラストマーク管理策とCCMv4のマッピング (スタートアップ/小規模組織のケース) • 3. スタートアップのAWSユーザー向け クラウドセキュリティ管理策事例 • 4. まとめ
  • 3.
    3 AGENDA • 1. シンガポールのサイバーセキュリティ認証制度 •1-1.デジタルアクセラレーションインデックス(DAI)に基づくデジタル成熟度指標 • 1-2. 組織のデジタル成熟度に応じたクラウドユーザーの分類 • 1-3. サイバーエッセンシャルズ/サイバートラストとクラウドセキュリティ コンパニオンガイドの関係 • 1-4. 組織がクラウドに移行する際の重要なシフトと課題 • 1-5. サイバーエッセンシャルズマークの責任共有モデル(SaaSユーザー向け) • 1-6. サイバートラストマークのセキュリティ管理策 • 1-7. 組織のデジタル成熟度に応じたサイバートラストマークの追加セキュリティ 管理策
  • 4.
    1-1. デジタルアクセラレーションインデックス(DAI)に基づく デジタル成熟度指標 出所:Go.gov.sg 「DigitalAcceleration Index (DAI) for the Non-Profit Sector」(2024年1月29日)(https://go.gov.sg/dai2024-readbacksession)を基にヘルスケアクラウド研究会作成 デジタル戦略 特定のアウトカムを達成するために、異なるデジタルイニシアティブが一体化する方法を示す行動計画 デジタル化したサービスの提供とオペレーション エンドツーエンドに渡るサービスの提供、オペレーション、サポートプロセスの変革 人間と働き方 デジタルに対応したリーダーシップ、 タレント、ガバナンス、働き方 データと技術 重要な活動を強化し、データの 潜在力を解き放つ技術の実装 新デジタルサービス サービス提供を変革する新たな デジタルサービスの開発 エコシステムの協働 データ、リソース、専門知識を共有する 他のステークホルダーとのパートナー シップ ステークホルダーの オファーとエンゲージ メント オペレーション サポート機能 ベンチマーク Vs ~18,000のデータポイント 急速に動くデジタルトレンドに追いつくための 定期的なアップデート 先導的な大学との パートナーシップ 100人以上のグローバルトピック 専門家による検証 エンドツーエンドのデジタル成熟度フレームワーク 個々の次元はレベル1~4にスコア化される 4つの成熟度ステージ DAIスコア 各次元で、どの ステージが組織 の現状の成熟度 に似ているかを 選択する
  • 5.
    1-2. 組織のデジタル成熟度に応じたクラウドユーザーの分類 出所:Cyber SecurityAgency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 スタートアップ/小規模組織 小規模・中堅組織 中堅・大規模組織 大規模・中堅組織 大規模組織・CSP
  • 6.
    6 1-3. サイバーエッセンシャルズ/サイバートラストとクラウドセキュリティ コンパニオンガイドの関係 サイバーエッセンシャルズ|サイバートラスト クラウドセキュリティコンパニオンガイド 組織のサイバーセキュリティ認証向け 国家標準規格 サイバーエッセンシャルズとサイバー トラストに合わせた組織向けの クラウド固有ガイダンス サイバーエッセンシャルズとサイバー トラストに合わせた組織向けの プロバイダー固有ガイダンス プロバイダーのクラウドセキュリティ ベストプラクティスを概説した プロバイダー固有ガイダンス (SMB/スタートアップ)(大企業/重要インフラ) (SaaSセキュリティ) (インフラセキュリティ) (SaaSセキュリティガイド) ・Google Cloud編 ・Microsoft編 ・Alibaba Cloud編 (インフラセキュリティガイド) ・AWS編 ・Huawei編 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成
  • 7.
    1-4. 組織がクラウドに移行する際の重要なシフトと課題 出所:Cyber SecurityAgency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 課題 サイバーセキュリティ 課題 ・クラウドユーザーは、クラウド プロバイダーがすべてのことに 責任を持つと誤解している ・クラウドユーザーとプロバイ ダーは、今や共同責任を引き 受ける 責任共有モデル (SRM) 大量のSaaSサブスクリプション (SaaSスプロール) ビジネス主導SaaS (潜在的なシャドーIT) ・スタンドアロンで、潜在的に サイロ化した管理対象のサブ スクリプションが多くある ・大量のSaaSサブスクリプ ションの管理をスケールする ことは困難である ・異なるビジネスユニットが 直接各自のSaaSを管理 する ・サブスクリプションが組織の サイバーセキュリティプロセス を遵守できない可能性がある ・ビジネスユーザーはクラウド セキュリティのベストプラクティ スを認識していない 組織がクラウドに移行する際の 重要なシフトと サイバーセキュリティ課題
  • 8.
    1-5. サイバーエッセンシャルズマークの責任共有モデル (SaaSユーザー向け) 出所:Cyber SecurityAgency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新) (https://www.csa.gov.sg/our- programmes/support-for- enterprises/sg-cyber-safe- programme/cloud-security-for- organisations) を基にヘルスケアクラウド研究会作成 人々 ハードウェアとソフトウェア データ ウイルス/マルウェア保護 資 産 セ キ ュ ア 化 ・ 保 護 ア ッ プ デ ー ト バ ッ ク ア ッ プ 対 応 アクセス制御 セキュアな構成 ソフトウェア アップデート 不可欠なデータの バックアップ インシデント対応 SaaSユーザー の責任 クラウドプロバイダーの責任 SaaSプロバイダー クラウドインフラスト ラクチャプロバイダー ・SaaS内のデータ クラウドがオンライン時のデータ保証 ・SaaSアプリ ケーションの保護 ・ホストインフラス トラクチャの保護 ・SaaSのユーザー 設定 ・ログ記録の管理 ・アプリケーション レベルの構成 ・ログ記録を実現 する能力 ・ホストインフラス トラクチャの構成 ・SaaSアプリ ケーションの アップデート ・ホストインフラス トラクチャのアップ デート ・SaaS内にある 組織の不可欠な データのバックアップ ・SaaSアプリ ケーションの バックアップ ・ホストインフラス トラクチャのバック アップ SaaSユーザーの責任 クラウドプロバイダーの責任 サイバーエッセンシャルズマークの 責任共有モデル (SaaSユーザー向け)
  • 9.
    1-6. サイバートラストマークのセキュリティ管理策 出所:Cyber SecurityAgency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 サイバーガバナンスと監視 1. ガバナンス 2. ポリシーと手順 3. リスク管理 4. サイバー戦略 5. コンプライアンス 6. 監査 サイバー教育 7. トレーニングと意識向上 8. 資産管理* 9. データ保護とプライバシー* 10. バックアップ* 11. 私物端末の業務利用 (BYOD) 12. システムセキュリティ* 情報資産保護 13. ウイルス対策/マルウェア対策* 14. セキュアソフトウェア開発ライフサイクル (SDLC) サイバーレジリエンス 15. アクセス制御* 16. サイバー脅威管理 17. サードパーティリスクと監視 18. 脆弱性評価 19. 物理的/環境的セキュリティ 20. ネットワークセキュリティ セキュアなアクセスと環境 21. インシデント対応* 22. 事業継続/ 災害復旧 *サイバーエッセンシャルズマークの管理策
  • 10.
    1-7.組織のデジタル成熟度に応じたサイバートラストマークの追加セキュリティ 管理策 Tier 5:Advocate 大規模組織・クラウドプロバイダー Tier 4: Performer 大規模・中堅組織 Tier 3: Promoter 中堅・大規模組織 Tier 2: Practitioner 小規模・中堅組織 Tier 1: Supporter スタートアップ/小規模組織 4. サイバー戦略 14.セキュアソフトウェア開発 ライフサイクル(SDLC) 17.サードパーティリスクと管理 6. 監査 11.私物端末の業務利用(BYOD) 16.サイバー脅威管理 1. ガバナンス 2. ポリシーと手順 18.脆弱性評価 19.物理的/環境的セキュリティ 20.ネットワークセキュリティ 22. 事業継続/災害復旧 3. リスクマネジメント 5. コンプライアンス 7. トレーニングと意識向上* 8. 資産管理* 9. データ保護とプライバシー* 10.バックアップ* 12.システムセキュリティ* 13.ウイルス対策/マルウェア対策* 15.アクセス制御* 21.インシデント対応* 出所:Cyber Security Agency of Singapore 「Cloud Security for Organisations」(2025年1月20日更新)(https://www.csa.gov.sg/our-programmes/support-for- enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)を基にヘルスケアクラウド研究会作成 (追加3項目) (追加3項目) (追加3項目) (追加3項目)
  • 11.
    11 AGENDA • 2. サイバートラストマークとCCMv4のマッピング (スタートアップ/小規模組織のケース) •2-1.スタートアップ向けサイバートラストマークとCCMv4のマッピング • 2-2.サイバートラストマークとISO/IEC 27001:2022の マッピング
  • 12.
    12 2-1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(1) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング リスク管理プログラム:クラウドセキュリティとプライバシーリスクの特定、評価、所有、 処理、および受容のためのポリシーと手順を含む、正式で、文書化され、リーダーシップ が支援するエンタープライズリスク管理 (ERM)プログラムを確立する。 GRC -02 B.3.1 組織は、環境内のサイバーセキュリティリスクを特定した。これには、 オンプレミスのリスクおよび該当する場合はリモートリスクが含まれる。これに より、特定されたすべてのサイバーセキュリティリスクに対応できるようにする。 B.3 リスク管理 リスク管理プログラム:クラウドセキュリティとプライバシーリスクの特定、評価、所有、 処理、および受容のためのポリシーと手順を含む、正式で、文書化され、リーダーシップ が支援するエンタープライズリスク管理 (ERM) プログラムを確立する。 GRC -02 B.3.2 組織は、ビジネス環境における重要なサイバーセキュリティリスクを分 析し、優先順位を付けるための手順を実行する。これにより、より重要なサイ バーセキュリティリスクが優先的に対処されることを保証する。 情報システムに対する規制へのマッピング:組織に適用されるすべての関連する標準、 規制、法律/契約、および法定要件を特定し、文書化する。 GRC -07 B.5.1 組織は、自社の業務分野に適用されるサイバーセキュリティ関連の 法律、規制、および/またはガイドライン(例:業界特有のもの)を特定し、 それらに準拠するための取り組みを行う。 B.5 コンプライ アンス セキュリティ意識向上トレーニング:組織のすべての従業員に向けたセキュリティ意識向 上トレーニングプログラムを確立、文書化、承認、伝達、適用、評価、維持し、定期的に トレーニングの更新を行う。 HRS -11 B.7.1 組織は、サイバーエッセンシャルズマークのA.1資産:人材に基づき、 すべてのサイバーセキュリティ要求事項を実装して、従業員がサイバー脅威 を特定し、軽減するためのセキュリティ知識と意識を備えることを保証する。 B.7 トレーニング と意識向上 機微性の高い組織および個人データにアクセスするすべての従業員に、適切なセキュリ ティ意識向上トレーニングと、組織に関連する職務についての手順、プロセス、およびポ リシーの定期的な更新を提供する。 HRS -12 エンドポイントのインベントリ:企業データの保存やアクセスに使う全てのエンドポイント をインベントリに保持する。 UE M- 04 B.8.1 組織は、サイバーエッセンシャルズマークのA.2資産:ハードウェアと ソフトウェアに基づき、すべてのサイバーセキュリティ要求事項を実装して、環 境内に存在するハードウェアとソフトウェアが特定され、一般的なサイバー脅 威から保護されることを保証する。 B.8 資産管理 オフサイト機器の廃棄ポリシーと手順:組織の外部で使用される機器を安全に廃棄す るためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。 機器が物理的に破壊されていない場合は、情報の回復を不可能にするデータ破壊手 順が適用されるべきである。ポリシーと手順を少なくとも年1回確認して更新する。 DCS -01 資産の分類:組織のビジネスリスクに基づいて、物理的および論理的な資産(アプリ ケーションなど)を分類して文書化する。 DCS -05 資産のカタログ化と追跡:CSPのすべてのサイトにある関係する物理的および論理的 資産を、セキュアなシステム内でカタログ化し追跡する。 DCS -06 承認されていない変更からの保護:組織の持つ資産への承認されていない追加や削除、 更新、管理などを制限する。 CCC -04 セキュアな廃棄:業界で認められている方法を用いて、ストレージメディアからデータをセ キュアに廃棄し、いかなるフォレンジック手段によってもデータが復元できないようにする。 DSP -02
  • 13.
    13 2-1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(2) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング セキュリティおよびプライバシーについてのポリシーおよび手順:データの分類、保護、 取り扱いに関するポリシーおよび手順を、そのライフサイクルを通じて、適用されるすべて の法律および規制、基準、およびリスクレベルに応じて確立し、文書化し、承認し、伝達 し、適用し、評価し、維持する。少なくとも年1回、ポリシーと手順を見直し、更新する。 DSP- 01 B.9.1 組織は、サイバーエッセンシャルズマークのA.3資産:データに 基づき、すべてのサイバーセキュリティ要求事項を実装して、業務に重要 なデータ(個人データ、企業機密、知的財産などを含む)が特定、所 在確認、および保護されることを保証しする。 B.9データ保護と プライバシー データインベントリ:少なくとも機微なデータや個人情報については、データインベントリ を作成し、維持する。 DSP- 03 機微なデータの保護:機微なデータをライフサイクル全体で保護するためのプロセス、 手順、技術的手段を定義し、実装する。 DSP- 17 データの所在地:データが処理またはバックアップされる場所を含む、データの物理的 な場所を特定および文書化するためのプロセス、手順、および技術的な手段を定義し、 実装する。 DSP- 19 データ漏洩防止:管理対象のエンドポイントに、データ漏洩防止(DLP)技術を構成 し、リスクアセスメントに従ったルールを構成する。 UEM- 11 セキュリティ侵害の通知:セキュリティ侵害の通知のためのプロセス、手順、および技術 的措置を定義し実装する。適用されるSLA、法令および規制に従い、関連するサプライ チェーンの侵害を含む、実際のもしくは想定されるセキュリティ違反を報告する。 SEF- 07 B.9.2 組織は、業務に重要なデータ(個人データ、企業機密、知的財 産など)の侵害を報告するためのプロセスを定義し、適用する。また、管 理者、関連当局、関連する個人などの利害関係者に情報を提供し続け ることを保証する。 セキュリティ責任共有モデル(SSRM)ガイダンス:SSRM のサプライチェーンに対す る適用可能性に関する詳細情報を 、CSC に SSRM ガイダンスとして提供する。 STA- 03 B.9.3 クラウドサービスを利用する組織は、データプライバシーとセキュ リティに関して、クラウドサービスプロバイダー(CSP)とのクラウド共有 責任モデルを確立し、実装する(例:CSPとの間で、組織とCSPの明 確な役割と責任を定める契約を締結するなど)。 主要なサービスと契約上の合意:CSP と CSC (テナント) の間のサービス契約には、 少なくとも次の条項について相互に合意した内容を組み込む必要がある: • 提供されるビジネス関係とサービスの範囲、特徴、場所 • 情報セキュリティ要件 (SSRM を含む) • 変更管理プロセス • ロギングおよびモニタリング能力 • インシデント管理とコミュニケーション手順 • 監査および第三者評価を行う権利 • サービスの終了条件 • 相互運用性と移植容易性の要件 • データプライバシー STA- 09
  • 14.
    14 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(3) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング バックアップ:クラウドに保存したデータを定期的にバックアップする。バックアップの機 密性、完全性、可用性を確保し、レジリエンスのためにバックアップからのデータ復元を 検証する。 BCR -08 B10.1 組織は、サイバーエッセンシャルズマークのA.8バックアップ:重要な データのバックアップに基づき、すべてのサイバーセキュリティ要件を実装して、 組織の重要なデータがバックアップされ、安全に保存されることを保証する。 B.10バックアップ 脅威と脆弱性管理ポリシーと手順:脆弱性の悪用からシステムを保護するために、脆 弱性を特定、報告、その修復に優先順位をつけるためのポリシーと手順を策定、文書 化、承認、周知、適用、評価、および維持する。少なくとも年1回、ポリシーと手順を 見直して更新する。 TVM -01 B.12.1 組織は、サイバーエッセンシャルズマークのA.6セキュア/プロテク ト:セキュア構成およびA.7アップデート:ソフトウェア更新に基づき、すべて のサイバーセキュリティ要件を実装して、ハードウェアとソフトウェアが安全で 更新された設定を使用することを保証する。 B.12 システムセ キュリティ 脆弱性の修復スケジュール:特定されたリスクに基づいて脆弱性が特定された場合に、 計画された対応と緊急時の対応の両方を可能にするためのプロセス、手順、技術的手 段を定義、実装、評価する。 TVM -03 変更管理ポリシーと手順:資産が内部で管理されているか、外部で管理(例:外部 委託)されているかに関わらず、アプリケーションやシステム、インフラストラクチャ、設定 など、組織が持つ資産の変更に関連するリスクについて、それを管理するためのポリ シーと手順を確立、文書化、承認、伝達、適用、評価、維持する。 少なくとも年1回は ポリシーと手順をレビューし更新する。 CCC- 01 変更管理技術:資産が内部で管理されているか、外部で管理(例:外部委託)され ているかに関わらず、アプリケーションやシステム、インフラストラクチャ、設定など、組織 が持つ資産の変更に関連するリスクを管理する。 CCC- 03 変更管理のベースライン:組織の持つ資産に関連するすべての承認された変更につい て、変更管理のベースラインを確立する。 CCC- 06 デザイン段階からのデータ保護とデフォルト設定:セキュリティ・バイ・デザインの原則と 業界のベスト・プラクティスに基づいて、システム、製品、およびビジネス・プラクティスを 開発する。 DSP- 07 ネットワークセキュリティ:事業によって正当化される形態で認証、認可された接続に 制限するように、環境間のコミュニケーションをモニタリング、暗号化、制限する。少なく とも年1回構成をレビューし、許可された全てのサービス、プロトコル、ポート、補完的コ ントロールの文書による正当性を文書化し、構成を支持する。 IVS- 03
  • 15.
    15 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(4) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング マルウェア対策ポリシーと手順:管理対象資産上のマルウェアから保護するためのポ リシーと手順を策定、文書化、承認、周知、適用、評価、および維持する。少なくとも 年1回、ポリシーと手順を見直して更新する。 TVM- 02 B.13.1 組織は、サイバーエッセンシャルズマークのA.4セキュア化/保護: ウイルスおよびマルウェア保護に基づき、すべてのサイバーセキュリティ要求事 項を実装して、ウイルスなどの悪意あるソフトウェアに対するセキュリティ保護 を確保する。 B.13ウイルス対策 /マルウェア対策 マルウェア対策による検知及び保護:管理対象のエンドポイントに、マルウェア対策に よる検知および保護に必要な技術やサービスを構成する。 UEM- 09 ソフトウェアファイアウォール:管理対象のエンドポイントに、適切に設定したソフトウェ アファイアウォールを構成する。 UEM- 10 ネットワーク防御:ネットワークベースの攻撃に係る保護、検知、タイムリーな対応の ために、プロセス、手順、多層防御技術を定義、実装、評価する。 IVS- 09 アプリケーションおよびサービスの承認:組織管理のデータへのアクセスや保存の際、 エンドポイントでの使用を許可する、承認済のサービス、アプリケーション、および、ア プリケーションの入手先(ストア)の一覧を定義、文書化、適用、評価を行う。 UEM- 02 セキュリティ侵害の通知:セキュリティ侵害の通知のためのプロセス、手順、および技 術的措置を定義し実装する。適用されるSLA、法令および規制に従い、関連するサ プライチェーンの侵害を含む、実際のもしくは想定されるセキュリティ違反を報告する。 SEF- 07
  • 16.
    16 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(5) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング アイデンティティ およびアクセス管理のポリシーと手順:アイデンティティおよびアクセス管理のポリシーと手順を確立、文書化、承認、 周知、実装、適用、評価、および維持する。少なくとも年に1 回、ポリシーと手順を見直して更新する。 IAM-01 8.15.1 組織は、サイ バーエッセンシャルズマー クのA.5セキュア/プロテク ト:アクセス制御に基づき、 すべてのサイバーセキュリ ティ要求事項を実装して、 データと資産へのアクセス 権を持つ者に対するサイ バーセキュリティ対策が整 備されていることを保証す る。 B.15 アクセス 制御 強固なパスワードポリシーと手順:強力なパスワードポリシーと手順を確立、文書化、承認、周知、実装、適用、評価、および維持する。 少なくとも年 1 回、ポリシーと手順を見直して更新する。 IAM-02 アイデンティティ・インベントリ:システムアイデンティティとアクセスレベルの情報を管理、保存、およびレビューする。 IAM-03 最小権限:情報システムへのアクセスを実装するときは、最小権限の原則を採用する。 IAM-05 ユーザ アクセスのプロビジョニング :データと資産へのアクセスの変更を承認、記録、および伝達するためのユーザアクセスプロビジョニ ングのプロセスを定義および実装する。 IAM-06 ユーザ アクセスの変更と取り消し: アイデンティティとアクセスの管理ポリシーを効果的に採用して伝達するために、異動者/退職者の アクセスまたはシステムアイデンティティの変更をタイムリーにプロビジョニング解除または変更する。 IAM-07 特権的なアクセスロールの管理:特権的なアクセスロールと権限が限られた期間のみ付与されることを保証するためのアクセスプロセス を定義および実装し、分離された特権アクセスが極大化するのを防ぐための手順を実装する。 IAM-10 強固な認証:システム、アプリケーション、およびデータ資産へのアクセスを認証するためのプロセス、手順、および技術的手段を定義、 実装、および評価する。これには、少なくとも特権ユーザおよび機密データへのアクセスに対する多要素認証が含まれる。システムアイデ ンティティに対して同等レベルのセキュリティを実現するデジタル証明書または代替手段を採用する。 IAM-14 パスワード管理:パスワードのセキュアな管理のプロセス、手順、および技術的手段を定義、実装、および評価する。 IAM-15 認可メカニズム:データおよびシステム機能へのアクセスが認可されていることを確認するためのプロセス、手順、および技術的手段を 定義、実装、および評価する。 IAM-16 ログの記録:関連するセキュリティ情報を含む監査記録を生成する。 LOG-08 サプライチェーンにおけるサービスアグリーメント準拠:サプライ チェーン全体のすべての CSP に、情報セキュリティ、機密性、アクセス 制御、プライバシー、監査、人事ポリシー、およびサービス レベル要求と適用標準規格に対して、準拠を要求したポリシーを実装する。 STA-12 機密保持契約:計画された間隔で、データの保護と運用の詳細に関する組織のニーズを反映した非開示/機密保持契約の要件を特 定、文書化、およびレビューする。 HRS-10 保護区域ポリシーと手順:オフィス、部屋、施設で安全でセキュアな作業環境を維持するためのポリシーと手順を確立、文書化、承認、 伝達、適用、評価、および維持する。ポリシーと手順を少なくとも年1回確認して更新する。 DCS-03 保護区域における認証:認可された担当者のみに保護エリアへのアクセスを許可し、すべての入口と出口のポイントを物理的なアクセ ス制御メカニズムによって制限し、文書化し、監視する。 組織が適切と見なす期間で定期的にアクセス制御記録を保持する。 DCS-09
  • 17.
    17 2.1.スタートアップ向けサイバートラストマーク管理策とCCMv4のマッピング(6) CSA CCMv4の管理策 サイバートラストマークの管理策のマッピング サービス管理ポリシーと手順:セキュリティインシデントの適時な管理のためのポリシーおよび 手順を確立、文書化、承認、周知、適用し評価、および維持する。少なくとも年1回、ポリ シーと手順をレビューし更新する。 SEF- 02 B.21.1 組織は、サイバーエッセンシャルズマークのA.9対応:インシデント対応に 基づき、すべてのサイバーセキュリティ要求事項を実装して、サイバーセキュリティイン シデントを検出し、対応し、復旧する準備が整っていることを保証する。 B.21インシデント 対応 インシデント対応計画:セキュリティインシデントレスポンス計画を策定、文書化、承認、周知、 適用、評価、および維持する。本計画には、関連する社内部門、影響を受けるCSC、影響を 受ける可能性のあるその他のビジネス上での重要な関係(サプライチェーン等)が含まれる が、これらに限定されない。 SEF- 03
  • 18.
    18 2-2. サイバートラストマーク管理策とISO/IEC 27001:2022のマッピング ISO/IEC27001:2022 サイバートラストマークの管理策のマッピング 6.1.2 para 1c1 B.3.1 組織は、環境内のサイバーセキュリティリスクを特定した。これには、オンプレミスのリスクおよび該当する場合はリモートリスクが 含まれる。これにより、特定されたすべてのサイバーセキュリティリスクに対応できるようにする。 B.3 リスク管理 6.1.2 para 1d1, 1d2, 1d3, 1e1, 1e2 B.12.1 組織は、サイバーエッセンシャルズマークのA.6セキュア/プロテクト:セキュア構成およびA.7アップデート:ソフトウェア更新に 基づき、すべてのサイバーセキュリティ要件を実装して、ハードウェアとソフ+A1:D8トウェアが安全で更新された設定を使用することを 保証する。 4.2 para 1a, 1b, 1c A5.31, A5.34 B.5.1 組織は、自社の業務分野に適用されるサイバーセキュリティ関連の法律、規制、および/またはガイドライン(例:業界特有の もの)を特定し、それらに準拠するための取り組みを行う。 B.5 コンプライ アンス 7.3 para 1a A5.37, A6.3 B.7.1 組織は、サイバーエッセンシャルズマークのA.1資産:人材に基づき、すべてのサイバーセキュリティ要求事項を実装して、従業 員がサイバー脅威を特定し、軽減するためのセキュリティ知識と意識を備えることを保証する。 B.7 トレーニングと 意識向上 A5.9, A5.10, A5.23, A 7.10, A7.13, A7.14, A8.10 B.8.1 組織は、サイバーエッセンシャルズマークのA.2資産:ハードウェアとソフトウェアに基づき、すべてのサイバーセキュリティ要求事 項を実装し、環境内に存在するハードウェアとソフトウェアが特定され、一般的なサイバー脅威から保護されることを保証する。 B.8 資産管理 A5.10, A5.13, A7.10, A7.14, A8.12, A8.26 B.9.1 組織は、サイバーエッセンシャルズマークのA.3資産:データに基づき、すべてのサイバーセキュリティ要求事項を実装し、業務に 重要なデータ(個人データ、企業機密、知的財産などを含む)が特定、所在確認、および保護されることを保証しする。 B.9 データ保護と プライバシー A5.5, A5.24, A6.8 B.9.2 組織は、業務に重要なデータ(個人データ、企業機密、知的財産など)の侵害を報告するためのプロセスを定義し、適用する。 また、管理者、関連当局、関連する個人などの利害関係者に情報を提供し続けることを保証する。 A5.2, A5.10, A5.20, A5.23, A8.12 B.9.3 クラウドサービスを利用する組織は、データプライバシーとセキュリティに関して、クラウドサービスプロバイダー(CSP)とのクラ ウド共有責任モデルを確立し、実装する(例:CSPとの間で、組織とCSPの明確な役割と責任を定める契約を締結するなど)。 A5.23, A8.13 B10.1 組織は、サイバーエッセンシャルズマークのA.8バックアップ:重要なデータのバックアップに基づき、すべてのサイバーセキュリ ティ要件を実装して、組織の重要なデータがバックアップされ、安全に保存されることを保証する。 B.10 バックアップ A5.8, A8.8, A8.9, A8.26 B.12.1 組織は、サイバーエッセンシャルズマークのA.6セキュア/プロテクト:セキュア構成およびA.7アップデート:ソフトウェア更新に 基づき、すべてのサイバーセキュリティ要件を実装して、ハードウェアとソフトウェアが安全で更新された設定を使用することを保証する。 B.12 システムセ キュリティ A6.8, A8.1, A8.7, A8.19, A8.20, A8.26 B.13.1 組織は、サイバーエッセンシャルズマークのA.4セキュア化/保護:ウイルスおよびマルウェア保護に基づき、すべてのサイバーセ キュリティ要求事項を実装して、ウイルスなどの悪意あるソフトウェアに対するセキュリティ保護を確保する。 B.13 ウイルス対策 /マルウェア対策 A5.15, A5.16, A5.17, A5.18, A5.19, A6.4, A6.6, A7.2, A7.3, A8.2, A8.3, A8.12, A8.18 B.15.1 組織は、サイバーエッセンシャルズマークのA.5セキュア/プロテクト:アクセス制御に基づき、すべてのサイバーセキュリティ要求 事項を実装して、データと資産へのアクセス権を持つ者に対するサイバーセキュリティ対策が整備されていることを保証する。 B.15 アクセス 制御 A5.2, A5.5, A5.24 B.21.1 組織は、サイバーエッセンシャルズマークのA.9対応:インシデント対応に基づき、すべてのサイバーセキュリティ要求事項を実 装して、サイバーセキュリティインシデントを検出し、対応し、復旧する準備が整っていることを保証する。 B.21 インシデント 対応
  • 19.
    19 AGENDA • 3. スタートアップのAWSユーザー向け クラウドセキュリティ管理策事例 •3-1.資産管理(構成管理含む) • 3-2.アクセス制御 • 3-3.脆弱性評価
  • 20.
    20 3-1. 資産管理(構成管理含む)(1) セキュリティベストプラクティス AWSサービスの説明 AWSサービス Cyber Trust向けのマッピング # 資産管理: このドメインの目的は、組織内のハードウェアおよびソフトウェア資産を特定し、追跡することによって、サイバーセキュリティ対策およびプロセスが資産ライフサイ クル全体で実装されるよう保証することにある。積極的な資産管理により、組織はリスクを監視し、環境内における資産の制御を可能にして、許可された資産 のみが使用およびインストールされるようにする。 B.8 AWSConfigのセキュリティベストプラクティス: •AWS Configのデータ保護 •AWS Configのアイデンティティ/アクセス管理 •AWS Configのログ記録と監視 •Interface Amazon VPC Endpointsを備えたAWS Configの使用 •AWS Configのインシデント対応 •AWS Configのコンプライアンス検証 •AWS Configのレジリエンス •AWS Configのインフラストラクチャセキュリティ •クロスサービスの混乱時の副次的予防 •AWS Configのセキュリティベストプラクティス AWS Configは、AWSアカウント内 のAWSリソースの構成の詳細なビュー を提供する。これには、リソースが互いに どのように関連しているか、および過去 にどのように構成されていたかが含まれ ており、構成や関係性が時間とともにど のように変化するかを見ることができる。 AWS Config 組織は、環境内に存在する ハードウェアおよびソフトウェ アを特定し、一般的なサイ バー脅威から保護している。 B.8. 1 AWSコストおよび使用状況レポートは、AWSの使用状況を追跡 し、アカウントに関連する推定料金を提供する。各レポートには、 AWSアカウントで使用するAWS製品、使用タイプ、および操作 の各組み合わせに対する明細項目が含まれている。 AWSコストおよび使用状況レポート (AWS CUR)には、利用可能な最 も包括的なコストおよび使用状況デー タが含まれている。 AWS Cost and Usage Reports (CUR) タグ付けのためのセキュリティベストプラクティス: •Tag Editorのデータ保護 •Tag Editor向けのアイデンティティ/アクセス管理 •Tag Editorのタグ記録と監視 •Tag Editor向けのコンプライアンス検証 •Tag Editorのレジリエンス •Tag Editorのインフラストラクチャセキュリティ AWSリソースにメタデータをタグの形で 割り当てることができる。各タグは、ユー ザー定義のキーと値から成るラベルであ る。タグはリソースの管理や識別、整理、 検索、フィルタリングに役立つ。リソース を目的や所有者、環境、その他の基準 で分類するためにタグを作成できる。 ユーザーのAWS リソースのタグ付け 組織は、ハードウェアおよび ソフトウェアを機密性および/ または機微度レベルに従って 分類および処理するプロセス を確立し、実装している。これ により、それらが適切なセキュ リティと保護を受けることを 保証する。 B.8. 4
  • 21.
    21 3-1.資産管理(構成管理含む)(2) セキュリティベストプラクティス AWSサービスの説明 AWSサービス Cyber Trust向けのマッピング # 資産管理: このドメインの目的は、組織内のハードウェアおよびソフトウェア資産を特定し、追跡することによって、サイバーセキュリティ対策およびプロセスが資産ライフサイ クル全体で実装されるよう保証することにある。積極的な資産管理により、組織はリスクを監視し、環境内における資産の制御を可能にして、許可された資産 のみが使用およびインストールされるようにする。 B.8 インベントリを使用して、管理ノードからメタデータを収集できる。こ のメタデータを中央のAmazon S3バケットに保存し、組み込み ツールを使用してデータをクエリし、どのノードがソフトウェアを実行 しているかや、ソフトウェアポリシーによって要求される構成、更新 が必要なノードを迅速に特定できる。また、複数のAWSリージョン およびAWSアカウントからインベントリデータを構成および表示す ることもできる。 AWSSystems Manager Inventoryは、AWSのコンピューティ ング環境に対する可視性を提供する。 AWS Systems Manager Inventory 組織は、適切な、業界で認 識されている資産ディスカバ リーツールを確立し、実装し ている。これにより、ネットワー クに接続されている資産をス キャンして検出し、すべての資 産が安全に管理されることを 保証する。 B.8. 6 AWS Configのセキュリティベストプラクティス: •AWS Configのデータ保護 •AWS Configのアイデンティティ/アクセス管理 •AWS Configのログ記録と監視 •Interface Amazon VPC Endpointsを備えたAWS Configの使用 •AWS Configのインシデント対応 •AWS Configのコンプライアンス検証 •AWS Configのレジリエンス •AWS Configのインフラストラクチャセキュリティ •クロスサービスの混乱時の副次的予防 •AWS Configのセキュリティベストプラクティス AWS Configは、AWSアカウント内 のAWSリソースの構成の詳細なビュー を提供する。これには、リソースが互いに どのように関連しているかや、過去にどの ように構成されていたかが含まれており、 構成および関係が時間とともにどのよう に変化するかを見ることができる。 AWS Config 組織は、ハードウェアおよびソ フトウェア資産を追跡して管 理するために、適切な、業界 で認識されている資産インベ ントリ管理システムの使用を 確立し、実装している。これに より、正確性を確保し、見落 としを避けることができる。 B.8. 9
  • 22.
    22 3-2. アクセス制御(1) アクセス制御: このドメインの目的は、組織の資産およびデータへのアクセス管理の制御と正式なプロセスを確立し、従業員、請負業者、および第三者が最小権限の原則に 基づいてのみアクセスできるようにし、管理が統制され、一貫した方法で行われることを保証することである。 B.15 AWS IAM向けのセキュリティベストプラクティス: •AWSセキュリティクレデンシャル •AWSセキュリティ監査ガイドライン •AWSIdentity and Access Managementのデータ保護 •AWS Identity and Access Managementのログ記録と監視 •AWS Identity and Access Management向けのコンプライアンス検 証 •AWS Identity and Access Managementのレジリエンス •AWS Identity and Access Managementのインフラストラクチャセ キュリティ •AWS Identity and Access Managementの構成と脆弱性の分析 •AWS Identity and Access Managementのセキュリティベストプラク ティス •AWS Identity and Access Management Access Analyzer向 けのAWSマネージドポリシー AWS Identity and Access Management (IAM)は、AWSサービスへのアクセスを安全に制御 するためのウェブサービスである。IAMを使用すると、 ユーザー、アクセスキーなどのセキュリティ認証情報、およ びユーザーやアプリケーションがアクセスできるAWSリ ソースを制御する権限を一元管理できる。 AWS Identity and Access Manageme nt 組織は、データおよ び資産へのアクセス に関してサイバーセ キュリティ対策が確 立されていることを 確保するために、す べてのサイバーセ キュリティ要件を実 装している。 B.15 .1 AWS Identity Center向けのセキュリティベストプラクティス •IAM Identity Center向けのアイデンティティ/アクセス管理 •IAM Identity CenterコンソールとAPIの認可 •IAM Identity Centerのログ記録と監視 •IAM Identity Center向けのコンプライアンス検証 •IAM Identity Centerのレジリエンス •IAM Identity Centerのインフラストラクチャセキュリティ IAM Identity Centerは、 Workforce Userを作 成または接続し、AWSアカウントおよびアプリケーション 全体でアクセスを一元管理するための一元的な場所を 提供する。マルチアカウント権限を使用して、ワーク フォースユーザーにAWSアカウントへのアクセスを割り当 てることができる。アプリケーション割り当てを使用して、 ユーザーにIAM Identity Center対応アプリケーショ ン、クラウドアプリケーション、および顧客のセキュリティア サーションマークアップランゲージ(SAML 2.0)アプリ ケーションへのアクセスを割り当てることができる。 AWS Identity Center
  • 23.
    23 3-2. アクセス制御(2) アクセス制御: このドメインの目的は、組織の資産およびデータへのアクセス管理の制御と正式なプロセスを確立し、従業員、請負業者、および第三者が最小権限の原則に 基づいてのみアクセスできるようにし、管理が統制され、一貫した方法で行われることを保証することである。 B.15 特権アクセスの詳細については、「Temporary elevated access」を参照 (https://docs.aws.amazon.com/ja_jp/singlesigno n/latest/userguide/temporary-elevated- access.html) AWSIAM Identity Center(AWS Single Sign-Onの後継)は、ベンダー管理およびサポートソ リューション、自主管理および自社サポートソリューション の両方に対して、一時的な権限昇格アクセス管理のオ プションを提供する。 Temporary elevated Access with AWS IAM Identity Center 組織は、ユーザーを 認証し、役割に基 づいてアクセスを許 可するための業界 で適切かつ認知さ れた特権アクセスソ リューションを確立 し、実装しており、よ り効率的で効果的 なアクセス管理方 法を確保している。 B.15 .11
  • 24.
    24 3-3. 脆弱性評価(1) 脆弱性評価:このドメインの目的は、脆弱性評価と管理を確立し、組織のネットワークおよびシステムが既知の悪用から安全であることを確保することである。 このドメインはまた、システムおよびソフトウェアのセキュリティ脆弱性を識別、評価、緩和、および報告するためのプロセスを確立する。 B.18 Amazon Inspector向けのセキュリティベストプラクティス: •AmazonInspectorのデータ保護 •Amazon Inspector向けのアイデンティティ/アクセス管理 •Amazon Inspectorの監視 •Amazon Inspector向けのコンプライアンス検証 •Amazon Inspectorのレジリエンス •Amazon Inspectorのインフラストラクチャセキュリティ •Amazon Inspectorのインシデント対応 Amazon Inspectorは、Amazon Web Services (AWS)のワークロードをソフトウェアの脆弱性や意図しない ネットワークの露出について継続的にスキャンする自動化された脆 弱性管理サービスである。Amazon Inspectorは現在、 Amazon Elastic Compute Cloud(Amazon EC2)イ ンスタンスおよびAmazon Elastic Container Registry (Amazon ECR)に保存されているコンテナイメージの脆弱性 報告をサポートしている。 Amazon Inspector 組織は、評価の一環 として発見された脆弱 性を追跡、レビュー、 評価、対処するための 対策とプロセスを確立 し、実装して、脆弱性 がその重大度に応じ て修正されていること を確保している。 B.18. 7 AWS Security Hubは、以下の標準規格をサポートしている: •AWS Foundational Security Best Practices (FSBP) standard •Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 and v1.4.0 •National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 •Payment Card Industry Data Security Standard (PCI DSS) •Service-managed standards AWS Security Hubは、セキュリティのベストプラクティスチェッ クを実行し、アラートを集約し、自動修復を可能にするクラウドセ キュリティポスチャ管理(CSPM)サービスである。 AWS Security Hub プライベートレジストリのイメージスキャンを設定する際に、すべてのリポジトリをス キャンするか、フィルターを指定してどのリポジトリがスキャンされるかを設定できる。 ベーシックスキャンを使用する場合、プッシュ時のスキャンフィルターを指定して、 新しいイメージがプッシュされたときにイメージスキャンを実行するリポジトリを指 定できる。ベーシックスキャンフィルターに一致しないリポジトリは、手動スキャン頻 度に設定され、スキャンを実行するには手動でトリガーする必要がある。 高度な スキャンを使用する場合、プッシュ時のスキャンと継続スキャンのために別々のフィ ルターを指定できる。高度なスキャンフィルターに一致しないリポジトリは、スキャ ンが無効になる。高度なスキャンを使用して、プッシュ時のスキャンと継続スキャン の別々のフィルターを指定した場合、同じリポジトリに複数のフィルターが一致す ると、Amazon ECRはそのリポジトリに対して継続スキャンフィルターを適用する。 Amazon ECRイメージスキャンは、コンテナイメージ内のソフト ウェアの脆弱性を特定するのに役立つ。 ECR Container Registry (Amazon ECR) Image Scanning
  • 25.
    25 3-3. 脆弱性評価(2) 脆弱性評価:このドメインの目的は、脆弱性評価と管理を確立し、組織のネットワークおよびシステムが既知の悪用から安全であることを確保することである。 このドメインはまた、システムおよびソフトウェアのセキュリティ脆弱性を識別、評価、緩和、および報告するためのプロセスを確立する。 B.18 AWS Identityand Access Management (IAM) - IAMを使用して、 どのユーザー、グループ、およびロールがPatch Manager操作にアクセスでき るかを制御する。詳細については、「AWS Systems ManagerのIAMとの連 携方法」および「Systems Managerのインスタンス権限の設定」を参照。 AWS CloudTrail - CloudTrailを使用して、ユーザーやロール、グループに よって開始されたパッチ操作イベントの監査可能な履歴を記録する。詳細につい ては、「AWS CloudTrailでのAWS Systems Manager API呼び出しの 記録」を参照。 AWS Security Hub - Patch Managerからのパッチコンプライアンスデー タをAWS Security Hubに送信できる。Security Hubは、優先度の高いセ キュリティアラートとコンプライアンスステータスの包括的なビューを提供する。また、 フリートのパッチ適用状況を監視します。詳細については、「Patch Managerと AWS Security Hubの統合」を参照。 AWS Config - Patch Manager DashboardでAmazon EC2インスタ ンス管理データを表示するために、AWS Configで記録を設定する。詳細につ いては、「パッチダッシュボードの概要の表示(コンソール)」を参照。 AWS Systems Managerの機能であるPatch Managerは、管理ノードに対するセキュリティ関連の 更新およびその他の種類の更新のプロセスを自動化す る。 AWS Systems Manager / Patch Manager 組織は、オープン または期限切れ、 重大な脆弱性に 関する報告と追跡 を提供するための メトリクスと閾値を 確立し、ダッシュ ボードを含む可視 性を確保するため のメトリクスと閾値 を実装し、確立さ れたタイムライン内 での追跡および修 正を提供している。 B.18. 10 Amazon QuickSight向けのセキュリティベストプラクティス: •データ保護 •アイデンティティ/アクセス管理 •インシデント対応、ログ記録、監視 •コンプライアンス検証 •レジリエンス •インフラストラクチャセキュリティ •ベストプラクティス •AWSマネージドポリシー Amazon QuickSightを使用すると、Systems Manager Inventoryデータのクエリや分析、視覚 化をすることができる。インタラクティブなダッシュボード を公開することも可能である。Amazon Athenaテー ブルデータセットを使用してダッシュボードやウィジェットを 作成し、コンプライアンス情報を表示することができる。 Amazon QuickSight ソリューションを 使用して、 Systems Managerの パッチとコンプ ライアンスデー タを管理し、閲 覧する
  • 26.
    26 (参考)シンガポールサイバーセキュリティ庁・アラート • 「Amazon WebServices S3バケットを標的とする進行中のキャンペーン」 (2025年1月23日)(https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-006)
  • 27.