AWSセキュリティ編~リスクとコンプライアンス編⑤~

Pocket

こんにちは!HEROです。

さて今回も引き続きリスクとコンプライアンス、クラウドセキュリティアライアンスの内容についてご紹介します!
リスクとコンプライアンス編と題して既に5回目になりましたが、いかがでしょうか?

▼これまでの記事は下記をご参照下さい。
AWSセキュリティ編~リスクとコンプライアンス編①~
AWSセキュリティ編~リスクとコンプライアンス編②~
AWSセキュリティ編~リスクとコンプライアンス編③~
AWSセキュリティ編~リスクとコンプライアンス編④~

周囲を納得させるような認知度になって頂けたら幸いです!
では今回は人事、情報のセキュリティについてみていきましょう。

◯データセンターで働く従業員はどんな教育をうけているのか?
従業員の教育プログラムがどういうものなのか、確かに気になりますね。

1

定期的に監査するなど、教育の徹底ぶりも伺えますね。
上記内容の概要ホワイトペーパーは以前、別のレシピでもご紹介したこちらをご参照ください。

◯インフラストラクチャの全てのコンポーネントについて情報セキュリティの基礎を文書化しているか?
仮想マシンイメージは有名?なAMIがありますね。簡単にサーバをコピーできる非常に便利なサービスです。

2

ちなみにISO27001規格の附属書Aの内容は下記になります。

・A.12.1 情報システムのセキュリティ要求事項
管理の目的としては、情報システムのセキュリティを具体化するためであり、情報システムを新規、更新する場合に業務システムの仕様にセキュリティ要求を盛り込む必要があります。

・A.15.2 セキュリティ方針及び標準の順守,並びに技術的順守
管理の目的としては、情報セキュリティ方針と規格へのシステムの順守を確実にするためで、情報システムの現場管理者が業務におけるセキュリティ手順が守られているか監査する仕組みを確立する必要があります。
セキュリティの技術的手順が順守されているか点検するための管理策を定める必要があります。

AMIに関してはVM Importを使えば既存環境からの移行もスムーズに可能です。
※サポートしているOSなどに注意が必要です!

◯ユーザーのデータに対するアクセス権は?また、AWSとユーザでデータの分類はどうなっているの?
こちらは以前別記事でご紹介した責任共有モデルに近いですかね。

3

IAM等を使って、ユーザが任意にアクセス権を設定、変更できます。MFAやVPCも合わせてよりセキュアな環境を構築しましょう!

いかがでしたでしょうか?
次回もお楽しみに!