Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
EC2 インスタンスを保護し、コンプライアンスプログラムに準拠する方法を教えてください。
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを保護し、コンプライアンスプログラムに準拠させようとしています。
解決策
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。
コンプライアンス法、規制、プライバシープログラムへの準拠には、お客様が責任を負います。既存のコンプライアンスプログラムに関する詳細については、「AWS コンプライアンスプログラム」を参照してください。
次の表には、一般的なコンプライアンスプログラム、その要件、およびコンプライアンスの設定に使用できる AWS サービスについて記載してあります。
| コンプライアンスプログラム | 主要要件 | 使用する AWS サービス |
|---|---|---|
| SOC 2 | セキュリティ、可用性、機密性 | AWS Identity and Access Management (IAM)、AWS CloudTrail、AWS Config、Amazon GuardDuty |
| 医療保険の相互運用性と説明責任に関する法律 (HIPAA) | 電子保護医療情報 (ePHI) の暗号化とアクセスログ | AWS Key Management Service (AWS KMS)、AWS Key Management Service (AWS KMS)、Amazon Macie |
| 決済カードにおけるデータセキュリティ基準 (PCI DSS) | カード会員のデータ保護とウェブアプリケーションファイアウォール (WAF) | AWS WAF、AWS Shield、Amazon Inspector |
| 一般データ保護規則 (GDPR) | 個人を特定できる情報 (PII) の保護および、消去の権利 | Macie、AWS Lambda |
| ISO 27001 | リスク管理と暗号化 | AWS Security Hub、AWS Artifact |
| 米国国立標準技術研究所 (NIST) 800-53 | アクセス制御とログ記録 | AWS Organizations のサービスコントロールポリシー (SCP) |
| 連邦リスクおよび承認管理プログラム (FedRAMP) | 米国政府のクラウドセキュリティ | AWS GovCloud (米国)、AWS Control Tower |
コンプライアンス要件を満たすには、EC2 インスタンスに階層型セキュリティアプローチを実装することをおすすめします。
アクセス制御を使用して最小特権の原則に準拠する
SOC 2、NIST、ISO 27001 などのプログラムにおけるコンプライアンスを設定するには、次の操作を行います。
- IAM Identity Center コンソールまたは AWS CLI を使用して全てのユーザーに多要素認証 (MFA) を要求します。
注: PCI DSS および SOC 2 では、多要素認証を適用する必要があります。 - root ユーザーまたは長期認証情報ではなく、IAM ロールを使用してください。
- SCP を適用すると、リスクの高いアクションを制限できます。
保存時と転送時の暗号化を設定する
HIPPA、PCI DSS、GDPRなどのプログラムでコンプライアンスを設定するには、次のアクションを実行してください。
- Amazon Elastic Block Store (Amazon EBS) 暗号化を有効にします。
注: 新しい EBS ボリュームとスナップショットには、自動暗号化を設定できます。 - TLS 1.2 以降を適用してください。
注: PCI DSS に必要です。 - AWS Certificate Manager (ACM) 証明書を使用して HTTPS トラフィックを管理します。
- セキュリティグループを設定し、SSL/TLS 以外のトラフィックをブロックします。
注: 暗号化されたトラフィックのみを許可するには、443、465、587などの SSL/TLS ポートを許可し、80、21、3306 などのプレーンテキストポートをブロックします。セキュリティグループの詳細については、「さまざまなユースケースにおけるセキュリティグループのルール」を参照してください。 - セキュリティグループのルールを、HTTP Strict Transport Security (HSTS) などのアプリケーションレベルの適用と組み合わせます。
ネットワークセキュリティファイアウォールを設定する
PCI DSS、FedRAMP、NIST などのプログラムでコンプライアンスを設定するには、次の操作を行います。
- 必要なポートのみを許可するようにセキュリティグループを制限します。
- AWS WAF を使用してインスタンスを保護します。
- Amazon Virtual Private Cloud (Amazon VPC) Flow Logs を有効化し、IP アドレスのトラフィックをキャプチャすると、NIST 800-53 における運用上のベストプラクティスに準拠できます。
監査記録を設定する
SOC 2、ISO 27001、HIPAA などのプログラムでコンプライアンスを設定するには、次の操作を行います。
- 全ての AWS リージョンで CloudTrail を有効にするには、IsMultiRegionTrail を true に設定して証跡を作成するか、既存の証跡を更新します。
- ログを Amazon Detective または Security Hub に送信すると、コンプライアンスを自動的に確認できます。
パッチ管理と脆弱性スキャンを設定する
PCI DSS や FedRAMP などのプログラムにおけるコンプライアンスを設定するには、次の操作を行います。
- AWS Systems Manager の機能である Patch Manager を設定し、Windows および Linux インスタンスに自動的にパッチを適用します。
- Amazon Inspector を使用してインスタンスをスキャンし、パッケージの脆弱性やネットワーク接続性の問題がないか調べます。
SSH アクセスを設定する
SOC 2、HIPAA、PCI DSS、NIST などのプログラムにおけるコンプライアンスを設定するには、次の操作を実行してください。
- SSH アクセスのベストプラクティスを遵守してください。
- SSH の代わりに、AWS Systems Manager の機能である Session Manager を使用してインスタンスに接続します。
- セキュリティグループを特定の IP アドレスのみに限定します。
- パスワードログインを無効にし、代わりに SSH キーペアを使用します。
- SSH キーは 90 日ごとにローテーションしてください。
脅威検出を設定する
SOC 2 や IS 27001 などのプログラムにおけるコンプライアンスを設定するには、次の GuardDuty 設定を行います。
- GuardDuty を Security Hub と統合すると、重要な調査結果をエスカレーションできます。
- オンデマンドのマルウェアスキャンを設定します。
- 環境に最も影響しているセキュリティ脅威を特定するには、抑制ルールを設定し、誤検知、価値の低い結果、および対処できない脅威を削除します。
レポート用にインスタンスに関する情報を取得する
ID、タグ、コンプライアンスステータスなどのインスタンスに関するデータを取得するには、次の AWS CLI コマンド describe-instances を実行します。
aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv
重要: 基準が変更されてもコンプライアンスを維持するには、構成を定期的に監査して更新することをおすすめします。
関連するコンテンツ
- 質問済み 10ヶ月前
