高度に規制されたワークロードと複雑なコンプライアンス要件をサポートするクラウド基盤をデプロイする

概要

Landing Zone Accelerator on AWS ソリューションは、AWS のベストプラクティスと複数のグローバルコンプライアンスフレームワークに合わせて設計されたクラウド基盤をデプロイします。このソリューションを使用すると、厳しい規制の対象となっているワークロードを処理し、複雑なコンプライアンス要件を満たす必要があるお客様は、マルチアカウント環境をより適切に管理および統制できます。他の AWS のサービスと連携して使用すると、35 以上の AWS のサービスで包括的なローコードソリューションを提供します。

注: このソリューションだけで、コンプライアンスに準拠できるわけではありません。追加の無料ソリューションを統合できる基本的なインフラストラクチャを提供します。

このソリューションを使用して、特定の地域と業界の要件への準拠をサポートすることができます。

利点

オートメーション

安全なワークロードをホストするのに適したクラウド環境を自動的にセットアップします。このソリューションは、すべての AWS リージョンにデプロイすることができます。これは、AWS 標準リージョン、AWS GovCloud (米国)、および AWS の他の非標準パーティション全体でオペレーションとガバナンスの一貫性を維持するのに役立ちます。

データセキュリティ

データ分類に適した AWS リージョンにソリューションをデプロイし、Amazon Macie を利用して Amazon Simple Storage Service (Amazon S3) 内の機密データ検出を提供します。また、このソリューションは、AWS Key Management System (AWS KMS) を利用して一元管理された暗号化戦略をデプロイ、運用、および統制するのに役立ちます。

コンプライアンスの基盤

一元管理されたマルチアカウント環境において、ミッションクリティカルなワークロードをデプロイするための基盤インフラストラクチャを活用します。

技術的な詳細情報

このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。

この AWS ソリューションのユースケース
  • ヘッドライン
その他…
デプロイオプション
開始のステップ
AWS コンソールでこのソリューションを起動し、デプロイする

サポートが必要ですか? パートナーとデプロイ。
このデプロイメントを支援する AWS 認定サードパーティエキスパートを探す

特定の地域と業界向けのサポート

以下のオプションから選択して、特定の地域または業界をサポートするために Landing Zone Accelerator on AWS ソリューションをデプロイする方法を参照してください。

重要: これらのアセットは、完全な機能または完全なコンプライアンスを意図したものではなく、地域または業界固有のセキュリティ要件を満たすためのクラウド移行とクラウドリファクタリングの取り組みを加速することを目的としています。これらのアセットを使用して運用可能なインフラストラクチャを手動で構築するために必要な作業を削減できますが、固有のビジネスニーズに合わせてカスタマイズを行う必要があります。特定の要件へのコンプライアンスにおいて AWS を使用する方法の詳細については、AWS コンプライアンスプログラムを参照してください。要件を満たすためのコンロトールについては、担当の AWS チームにお問い合わせください。

  • AWS のベストプラクティスと国固有のコンプライアンスフレームワークに合わせて Landing Zone Accelerator on AWS 向けに以下の地理的地域固有の設定が構築されています。目的の地理的地域を選択してデプロイ手順を表示してください。

    注意: クラウドのセキュリティに関する詳細は、AWS Artifact の AWS サードパーティセキュリティおよびコンプライアンスレポートに含まれています。

    • 米国
    • 英国 (UK)
    • 英国 (UK)

      英国国家サイバーセキュリティセンター (NCSC) は、クラウドユーザーがデータをクラウドで保存して処理する、またはクラウドプラットフォームを使用して独自のサービスをセキュアに構築してホストすることを可能にする Cloud Security Guidance を公開しています。以下の原則のいずれかを選択して、Landing Zone Accelerator on AWS のサンプル設定がこれらの要件を満たすうえでどのように役立つかを確認してください。

      • 原則 1 の要件を満たすために、ソリューションのベストプラクティスサンプル設定に加えて、以下のコントロールを実装できます。
        • Amazon S3 のみ s3:TLSVersion が 1.2 未満の場合にすべてのアクションを定義するサービスコントロールポリシーを介して最低限の Transport Layer Security (TLS) 1.2 を強制します。
        • Amazon S3 Object Lambda のみs3-object-lambda:TlsVersion が 1.2 未満の場合にすべてのアクションを定義する SCP を介して最低限の TLS 1.2 を強制します。
        • Amazon ElastiCache のみelasticache:TransitEncryptionEnabled が false の場合のアクションを定義する SCP を介して TLS for CreateReplicationGroup オペレーションを強制します。
      • このソリューションのベストプラクティスサンプル設定は、以下のコントロールで 原則 2を満たします。
        • AWS Control Tower を設定して、特定のリージョン (英国とのデータアクセス契約のない地理的位置にあるリージョンなど) の AWS のサービスへのアクセスを禁止します。
        • AWS Control Tower では、AWS Config を設定して AWS リソースのデプロイと設定を追跡できます。お客様が可視性と特定の自動監査の実施に使用できる設定管理データベースを提供することによりコンプライアンスを保証できます。
        • このソリューションは、アセット保護に準拠して検出に関するコンプライアンスコントロールを実装します (暗号化されていないストレージ、中央のアーカイブアカウントにアクセスログをエクスポートするように設定されていないロードバランサー、TLS 暗号化のないエンドポイントを識別するコントロールなど)。
         
        セキュリティを強化するために、以下のコントロールを実装できます。
        • その他の AWS のサービスの開発と継続的改善のためにカスタマーコンテンツを保存および使用する特定の AWS 人工知能 (AI) サービスを無効化します。
        • 暗号化されていない場合に特定のリソースの作成または更新を拒否することによって保管時の暗号化を強制します。これは、以下の条件を SCP に追加することによって実現できます。
          • Amazon EC2: "ec2:Encrypted" を "true" に設定
          • Amazon EFS: "elasticfilesystem:Encrypted" を "true" に設定
          • Amazon RDS: "rds:StorageEncrypted" を "true" に設定
          • Amazon S3: "s3:x-amz-server-side-encryption" を "aws:kms" に設定
          • Amazon ElastiCache: "elasticache:AtRestEncryptionEnabled" を "true" に設定

         

      • クラウドのセキュリティ向けの AWS 設定では、原則 3 の要件を満たすことができます。「Logical Separation on AWS」ホワイトペーパーで実装の詳細を参照することをお勧めします。その他の情報については、AWS International Organization for Standardization (ISO) 認定、Payment Card Industry (PCI) 認定、System and Organization Control (SOC) レポートを始めとする AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。

      • サービスの管理の目的で AWS が実装する広範なガバナンスの詳細については、AWS ISO や PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、 AWS Artifact からダウンロードできます。
         
        原則 4 の要件を満たす際、環境内においてガバナンスは同等に重要です。AWS リソースの可視性、自動化コントロールの一元的な実装、クラウド環境全体でのガバナンスの強制を目的としてこのソリューションによって実装される規範的アーキテクチャ (隔離されたアカウントへのセキュリティ、ログ、コアネットワーク機能の分離) とコントロール (原則 5 を参照) が設計されています。
      • このソリューションのベストプラクティスサンプル設定は、一元化されたセキュリティアカウント (委任セキュリティアカウント) を作成することによって 原則 5 の要件を満たします。このアカウントは、ソリューションがデフォルトでアクティブ化する以下のようなセキュリティサービスからの情報を受信します。
        • ソリューション環境内ですべてのアカウントにわたって以下のデータソースの継続的な監視、分析、処理を行う Amazon GuardDuty:
        • 機械学習とパターンマッチングを使用して Amazon S3 内の機密データの探索、モニタリング、保護をサポートする Amazon Macie
        • 以下を提供する AWS Config:
          • ソリューション環境内のすべてのアカウントの AWS リソースの設定の詳細ビュー
          • コンプライアンスルールに対する監査リソース (保管時に暗号化されていないストレージの識別など)
          • コンプライアンス違反をチェックするコンプライアンスルール
        • 前処理を行うサービスからのフィードを表示する単一のダッシュボードを提供する AWS Security Hub。組織のセキュリティチームは、脅威検出とコンプライアンスコントロールステータスの集約されたビューを表示して、単一の場所で脅威を緩和できます。
        • 組織全体でのコンプライアンスレポートをサポートする AWS Audit Manager
        • セキュリティインシデントの調査を支援する Amazon Detective
      • このソリューションは、原則 6 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。

      • 原則 7 をサポートするために、このソリューションは、AWS ソリューションアーキテクトによって Well-Architected、堅牢性、完全性、ベストプラクティス、規範性、実世界のソリューションの観点から検証されたアーキテクチャを提供します。このソリューションを使用すると、AWS 上に構築するときにセルフサービス型の自動インストールとデプロイでお客様の時間と労力を節約できます。

         

      • このソリューションは、原則 8 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。

      • このソリューションのベストプラクティスサンプル設定は、以下のコントロールで 原則 9 を満たします。

        このソリューションでは、Access Analyzer の推奨に基づいて IAM ポリシーをデプロイできます。AWS セキュリティブログのチュートリアルを参照してください。

      • このソリューションは、原則 10 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。

      • このソリューションのベストプラクティスサンプル設定は、以下のコントロールで 原則 11 を満たします。
        • AWS PrivateLink をセットアップして、AWS のサービス間のトラフィックが公衆インターネットを移動しないようにします。
      • このソリューションは、原則 12 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。

      • このソリューションのベストプラクティスサンプル設定は、以下のコントロールで原則 13 を満たします。

        • AWS CloudTrail をセットアップして、ソリューション環境内のすべてのアカウントにおいてユーザー、ロール、または AWS のサービスによって行われたすべてのアクションを記録し、365 日間安全に保存します。
        • 不正な変更を防止するために、AWS CloudTrail ログを制限された読み取り専用アクセスが設定された個別の AWS アカウントに保存します。
        • AWS Security Hub で以下の重要度レベルのイベントが検出されたときに電子メールアラートを送信します。

      • 原則 14 をサポートするために、このソリューションは、AWS で規範的なセキュリティのベストプラクティスを導入することを検討しているお客様を支援します。このソリューションを AWS Well Architected フレームワークAWS Trusted Advisor などのその他のリソースとサービスと組み合わせて使用して、設計によるセキュリティを備えたアーキテクチャを迅速に実装できます。

         

    • カナダ
    • カナダ

      堅牢で規範的なアーキテクチャをデプロイするためにカナダサイバーセキュリティセンター (CCCS) Cloud Medium (以前の名称は Protected B, Medium Integrity, Medium Availability [PBMM]) 設定が構築されています。このアーキテクチャは、ITSP.50.105 に説明されているように、ATO (Authority to Operate) を受け取るために必要なコントロールに対処するお客様を支援することを目的に設計されています。

      この設定をデプロイすると、CCCS Cloud Medium コントロールの実装時間を 90 日強から 2 日に短縮できます。Landing Zone Accelerator on AWS ソリューションを使用してお客様の責任となる一般的なコントロールに対処することに加えて、CCCS Cloud Medium 評価の対象となる継承コントロールを使用することにより、Security Assessment & Authorization (SA&A) プロセスを加速することができます。

      お客様は、カナダ政府 (GC) の Cloud Operationalization Framework の一部として最低ガードレールを満たすこともできます。Landing Zone Accelerator on AWS ソリューションを使用して最低ガードレールを満たすことにより、ワークロードの機密性が変更された場合に CCCS Cloud Medium コントロールをサポートすることもできます。構成ファイル内でパラメータを調整することにより、カスタムアーキテクチャをデプロイして政府と民間セクターの広範な要件を満たすことができます。

      この設定をインストールするには、GitHub で公開されている ランディングゾーン Accelerator for CCCS Cloud Medium のサンプル設定ファイルと手順を使用してください。

      注意: Landing Zone Accelerator on AWS ソリューションは、CCCS Cloud Medium プロファイルに即して AWS 環境をデプロイすることを検討する公共部門のお客様の推奨ソリューションになりました。これまで、カナダの公共部門のお客様は、CCCS Cloud Medium プロファイルに準拠するために AWS Secure Environment Accelerator をデプロイして、責任共有モデルにおいてお客様の責任となるコントロールに対処していました。リリースバージョン 1.3.0 以降の Landing Zone Accelerator on AWS ソリューションは、AWS Secure Environment Accelerator ソリューションと同じコントロールをカバーします。現在 AWS Secure Environment Accelerator ソリューションを使用している場合、Landing Zone Accelerator on AWS ソリューションに移行する期限は現時点では設定されていません。

  • AWS のベストプラクティスと業界固有のコンプライアンスフレームワークに合わせて Landing Zone Accelerator on AWS ソリューション向けに以下の業界固有の設定が構築されています。目的の業界を選択してデプロイ手順を表示してください。

    注意: クラウドのセキュリティに関する詳細は、AWS Artifact の AWS サードパーティセキュリティおよびコンプライアンスレポートに含まれています。

    • 航空宇宙
    • 動画
      AWS Summit DC 2022 - Landing Zone Accelerator on AWS での自動ガバナンスのスケーリング
      動画を見る 

      航空宇宙 (米国)

      米国での航空宇宙のユースケースをサポートするには、実装ガイドで、このソリューションを AWS GovCloud (米国) リージョンに実装する手順を参照してください。以下に関する詳細が含まれています。

      米国東部または米国西部の AWS リージョンにデプロイする場合、AWS の 実装ガイドを参照してください。
    • 政府機関の中央 IT (米国州政府と地方自治体)
    • 政府機関の中央 IT (米国州政府と地方自治体)

      政府機関の中央 IT 組織が直面する脅威を緩和するガードレールを提供するために米国州政府と地方自治体向けの中央 IT 設定が構築されています。これらの組織を支援するために、この設定では、以下のフレームワークのコントロールが使用されています。

      • 米国国立標準技術研究所 (NIST) Cybersecurity Framework の AWS コントロール
      • 医療保険の相互運用性と説明責任に関する法律 (HIPAA) に準拠するコントロール設定 (オプション)

      ステップ 1:スタックを起動する

      AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

      ステップ 2:初期環境のデプロイを待機する

      AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

      ステップ 3 とステップ 4:構成ファイルをコピーして更新する

      GitHub で公開されている Landing Zone Accelerator on AWS for State and Local Government Central IT サンプル設定の Deployment Overview にある Step 3Step 4 に従ってください。

    • 教育
    • 教育

      教育組織が直面する脅威を緩和するガードレールを提供するために教育機関向けの構成が構築されています。これらの組織を支援するために、この設定では、以下のフレームワークのコントロールが使用されています。

      • 国際武器取引規制 (ITAR)
      • 米国国立標準技術研究所 (NIST) 800-171
      • NIST 800-53
      • サイバーセキュリティ成熟度モデル認証 (CMMC)

      ステップ 1:スタックを起動する

      AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

      ステップ 2:初期環境のデプロイを待機する

      AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

      ステップ 3 とステップ 4:構成ファイルをコピーして更新する

      GitHub で公開されている教育機関向けの Landing Zone Accelerator on AWS サンプル設定のデプロイの概要ステップ 3 とステップ 4 に従います。

    • 金融 (税金)
    • 金融 (税金)

      連邦税金情報 (FTI) データを保護するセキュリティコントロールとネットワーク設定と共に、税金のワークロードで一般的に使用される口座構造をデプロイするために金融 (税金) 設定が構築されています。この設定では、お客様の管理の下でカスタマーマネージドキー (CMK) を使用して、FTI データをホストする Amazon S3、Amazon EBS、Amazon FSx の暗号化に関する IRS (アメリカ合衆国内国歳入庁)-1075 要件を満たすことができます。

      ステップ 1:スタックを起動する

      AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

      ステップ 2:初期環境のデプロイを待機する

      AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

      ステップ 3 とステップ 4:構成ファイルをコピーして更新する

      GitHub で公開されている Landing Zone Accelerator on AWS for Finance (Tax) サンプル設定の Deployment Overview にある Step 3Step 4 に従ってください。

    • 医療
    • 医療

      医療組織が直面する脅威を緩和するガードレールを提供するために医療機関向けの構成が構築されています。これらの組織を支援するために、この設定では、以下のフレームワークのコントロールが使用されています。

      • Health Insurance Portability and Accountability Act (HIPAA)
      • 英国国家サイバーセキュリティセンター (NCSC)
      • Esquema Nacional de Seguridad (ENS) High
      • クラウドコンピューティングコンプライアンスコントロールカタログ (C5)
      • Fascicolo Sanitario Elettronico

      ステップ 1:スタックを起動する

      AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

      ステップ 2:初期環境のデプロイを待機する

      AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

      ステップ 3 とステップ 4:構成ファイルをコピーして更新する

      GitHub で公開されている Landing Zone Accelerator on AWS for Healthcare サンプル設定の Deployment Overview にある Step 3Step 4 に従ってください。

    • 国家安全保障、防衛、国内法執行機関 (米国外)
    • 国家安全保障、防衛、国内法執行機関 (米国外)

      世界各地の国家安全保障組織、防衛組織、国内法執行機関は、データに関する厳しいセキュリティとコンプライアンスの要件を満たしながらクリティカルなミッションを遂行するスケール、グローバルフットプリント、アジリティ、サービスを必要としています。これらの組織では、機密データとワークロードを保護しながらミッションを遂行するために AWS グローバルハイパースケールクラウドの採用が拡大しています。

      これらの機密ミッションをクラウドで加速するためにTrusted Secure Enclaves Sensitive Edition (TSE-SE) for National Security, Defence, and National Law Enforcement が開発されています。 TSE-SE リファレンスアーキテクチャは、機密レベルのワークロードを対象とした包括的なマルチアカウント AWS クラウドアーキテクチャです。このアーキテクチャは、厳格で一意のセキュリティとコンプライアンスの要件への準拠を加速させることを目的に、国家安全保障、防衛、国内法執行機関、および連邦、州、地方自治体のお客様とのコラボレーションで設計されました。

      このアーキテクチャは、米国国立標準技術研究所 (NIST) 800-53、Information Technology Standards Guidance (ITSG)-33、米国連邦リスク認証管理プログラム (FedRAMP) Moderate、情報セキュリティ公認監査人プログラム (IRAP)、その他の機密、保護、または中程度レベルのセキュリティプロファイルなどのセキュリティフレームワークに準拠しながら中央のアイデンティティとアクセス管理、ガバナンス、データセキュリティ、包括的なログ記録、ネットワーク設計とセグメンテーションに対処するお客様を支援することを目的に設計されています。

      このリファレンスアーキテクチャは、以下の設計原則を使用して開発されました。

      • 中レベルのセキュリティコントロールプロファイルに準拠したセキュリティを実現する。
      • コストを最小限に抑えながらアジリティ、スケーラビリティ、可用性を最大化する。
      • AWS クラウドの完全な機能を実現する。
      • AWS のイノベーションのペースをサポートし、最新の技術的機能を組み込むオープン性を維持する。
      • 実際のお客様の負荷 (クラウドコンピューティングの価値提案の主要な要素) に基づいて、帯域幅の要件の拡大 (または縮小) に応じてシームレスなオートスケーリングを実現し、バインドされていない帯域幅を提供する。
      • 高可用性を実現するアーキテクチャ: 設計では複数の AWS アベイラビリティーゾーンが使用されているため、1 つのアベイラビリティーゾーンの損失がアプリケーション可用性に影響することはない。
      • 最小特権での実行: アカウントのすべてのプリンシパルは最小限のアクセス許可セットで実行するよう意図されている。
      • お客様のデータ主権に関する課題への対処を支援する。

      アーキテクチャの詳細については、TSE-SE Reference Architecture を参照してください。アーキテクチャをインストールするには、設定ファイルと手順を使用してください。

  • 一部の AWS リージョンはデフォルトでアクティブ化されていません。Landing Zone Accelerator on AWS ソリューションを AWS リージョンにデプロイするには、実装ガイドを参照してください。

    注意: クラウドのセキュリティに関する詳細は、AWS Artifact の AWS サードパーティセキュリティおよびコンプライアンスレポートに含まれています。

動画
Landing Zone Accelerator on AWS の概要 | AWS 公共部門
動画を見る 
動画
AWS Summit DC 2022 - Landing Zone Accelerator on AWS での自動ガバナンスのスケーリング
動画を見る 
動画
AWS re:Inforce 2022 - Landing Zone Accelerator on AWS を使用した自動コンプライアンスの構築
動画を見る 
AWS for Industries ブログ
Landing Zone Accelerator for Healthcare の概要

Landing Zone Accelerator for Healthcare は、Landing Zone Accelerator on AWS ソリューションの業界固有のデプロイです。これは、AWS のベストプラクティスに調和して、複数でグローバルなコンプライアンスフレームワークに準拠して構築されています。

ブログを読む 
AWS 公共部門ブログ
米国の連邦政府のお客様がメモランダム M-21-31 に関して理解すべき事項

このブログ記事では、EL1 レベルでのログの記録と保持要件に関してメモランダム M-21-31 で明示的に規定された AWS のサービス、および必要なログデータをキャプチャするためこれらのサービスをセットアップするために使用できるリソースについて説明します。 

ブログを読む 

このページはお役に立ちましたか?