Landing Zone Accelerator on AWS

特定の地域と業界向けのサポート

• 地域固有の設定

  AWS のベストプラクティスと国固有のコンプライアンスフレームワークに合わせて Landing Zone Accelerator on AWS 向けに以下の地理的地域固有の設定が構築されています。目的の地理的地域を選択してデプロイ手順を表示してください。

  注意: クラウドのセキュリティに関する詳細は、AWS Artifact の AWS サードパーティセキュリティおよびコンプライアンスレポートに含まれています。

  • 米国
  • 英国 (UK)
  • カナダ

  • 米国

  • 米国 (US)
    

    このソリューションを AWS GovCloud (米国) リージョンに実装する手順については、実装ガイドを参照してください。以下に関する詳細が含まれています。
    

    • FedRAMP (連邦リスクおよび認可管理プログラム) High
      
    • Impact Level (IL)4 および IL5 ワークロードをホストするための DoD CC SRG (国防総省クラウドコンピューティングセキュリティ要件ガイド)
    • DoD CMMC (サイバーセキュリティー成熟度モデル認証) レディネス
    • M-21-31 ログの記録と保持に関する要件

    米国東部または米国西部の AWS リージョンにデプロイする場合、AWS の 実装ガイドを参照してください。
    
  • 英国 (UK)

  • 英国 (UK)
    

    英国国家サイバーセキュリティセンター (NCSC) は、クラウドユーザーがデータをクラウドで保存して処理する、またはクラウドプラットフォームを使用して独自のサービスをセキュアに構築してホストすることを可能にする Cloud Security Guidance を公開しています。以下の原則のいずれかを選択して、Landing Zone Accelerator on AWS のサンプル設定がこれらの要件を満たすうえでどのように役立つかを確認してください。
    

    • 原則 1: 転送中のデータの保護
      原則 1 の要件を満たすために、ソリューションのベストプラクティスサンプル設定に加えて、以下のコントロールを実装できます。

      • Amazon S3 のみ – s3:TLSVersion が 1.2 未満の場合にすべてのアクションを定義するサービスコントロールポリシーを介して最低限の Transport Layer Security (TLS) 1.2 を強制します。
      • Amazon S3 Object Lambda のみ – s3-object-lambda:TlsVersion が 1.2 未満の場合にすべてのアクションを定義する SCP を介して最低限の TLS 1.2 を強制します。
      • Amazon ElastiCache のみ– elasticache:TransitEncryptionEnabled が false の場合のアクションを定義する SCP を介して TLS for CreateReplicationGroup オペレーションを強制します。
        
    • 原則 2: アセットの保護とレジリエンス
      このソリューションのベストプラクティスサンプル設定は、以下のコントロールで 原則 2を満たします。

      • AWS Control Tower を設定して、特定のリージョン (英国とのデータアクセス契約のない地理的位置にあるリージョンなど) の AWS のサービスへのアクセスを禁止します。
      • AWS Control Tower では、AWS Config を設定して AWS リソースのデプロイと設定を追跡できます。お客様が可視性と特定の自動監査の実施に使用できる設定管理データベースを提供することによりコンプライアンスを保証できます。
      • このソリューションは、アセット保護に準拠して検出に関するコンプライアンスコントロールを実装します (暗号化されていないストレージ、中央のアーカイブアカウントにアクセスログをエクスポートするように設定されていないロードバランサー、TLS 暗号化のないエンドポイントを識別するコントロールなど)。
        

       

      セキュリティを強化するために、以下のコントロールを実装できます。

      • その他の AWS のサービスの開発と継続的改善のためにカスタマーコンテンツを保存および使用する特定の AWS 人工知能 (AI) サービスを無効化します。
      • 暗号化されていない場合に特定のリソースの作成または更新を拒否することによって保管時の暗号化を強制します。これは、以下の条件を SCP に追加することによって実現できます。
        • Amazon EC2: "ec2:Encrypted" を "true" に設定
        • Amazon EFS: "elasticfilesystem:Encrypted" を "true" に設定
        • Amazon RDS: "rds:StorageEncrypted" を "true" に設定
        • Amazon S3: "s3:x-amz-server-side-encryption" を "aws:kms" に設定
        • Amazon ElastiCache: "elasticache:AtRestEncryptionEnabled" を "true" に設定
          

       

    • 原則 3: お客様の分離

      クラウドのセキュリティ向けの AWS 設定では、原則 3 の要件を満たすことができます。「Logical Separation on AWS」ホワイトペーパーで実装の詳細を参照することをお勧めします。その他の情報については、AWS International Organization for Standardization (ISO) 認定、Payment Card Industry (PCI) 認定、System and Organization Control (SOC) レポートを始めとする AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。
      

    • 原則 4: ガバナンスフレームワーク
      サービスの管理の目的で AWS が実装する広範なガバナンスの詳細については、AWS ISO や PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、 AWS Artifact からダウンロードできます。

       

      原則 4 の要件を満たす際、環境内においてガバナンスは同等に重要です。AWS リソースの可視性、自動化コントロールの一元的な実装、クラウド環境全体でのガバナンスの強制を目的としてこのソリューションによって実装される規範的アーキテクチャ (隔離されたアカウントへのセキュリティ、ログ、コアネットワーク機能の分離) とコントロール (原則 5 を参照) が設計されています。
    • 原則 5: 運用のセキュリティ
      このソリューションのベストプラクティスサンプル設定は、一元化されたセキュリティアカウント (委任セキュリティアカウント) を作成することによって 原則 5 の要件を満たします。このアカウントは、ソリューションがデフォルトでアクティブ化する以下のようなセキュリティサービスからの情報を受信します。

      • ソリューション環境内ですべてのアカウントにわたって以下のデータソースの継続的な監視、分析、処理を行う Amazon GuardDuty:
        • Amazon VPC フローログ
        • AWS CloudTrail 管理イベントログ
        • AWS CloudTrail S3 データイベントログ
        • Amazon EKS 監査ログ
        • AWS DNS ログ
      • 機械学習とパターンマッチングを使用して Amazon S3 内の機密データの探索、モニタリング、保護をサポートする Amazon Macie。
      • 以下を提供する AWS Config:
        • ソリューション環境内のすべてのアカウントの AWS リソースの設定の詳細ビュー
        • コンプライアンスルールに対する監査リソース (保管時に暗号化されていないストレージの識別など)
        • コンプライアンス違反をチェックするコンプライアンスルール
      • 前処理を行うサービスからのフィードを表示する単一のダッシュボードを提供する AWS Security Hub。組織のセキュリティチームは、脅威検出とコンプライアンスコントロールステータスの集約されたビューを表示して、単一の場所で脅威を緩和できます。
      • 組織全体でのコンプライアンスレポートをサポートする AWS Audit Manager。
      • セキュリティインシデントの調査を支援する Amazon Detective。
        
    • 原則 6: 従業員のセキュリティ

      このソリューションは、原則 6 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。
      

    • 原則 7: 安全なソフトウェア開発

      原則 7 をサポートするために、このソリューションは、AWS ソリューションアーキテクトによって Well-Architected、堅牢性、完全性、ベストプラクティス、規範性、実世界のソリューションの観点から検証されたアーキテクチャを提供します。このソリューションを使用すると、AWS 上に構築するときにセルフサービス型の自動インストールとデプロイでお客様の時間と労力を節約できます。
      

       

    • 原則 8: サプライチェーンのセキュリティ

      このソリューションは、原則 8 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。
      

    • 原則 9: 安全なユーザー管理
      このソリューションのベストプラクティスサンプル設定は、以下のコントロールで 原則 9 を満たします。

      • AWS IAM アイデンティティセンターをセットアップして、ソリューション環境内のすべての AWS アカウントにわたるアクセスとユーザーアクセス許可を管理します。
      • ソリューション管理アカウントのルートユーザーの既存のアクセスキーを削除します。
      • AWS Identity and Access Management (IAM)の実施
        
      • IAM Access Analyzer で過剰なアクセス許可が付与されているアクセスをレポートし、最小特権のアクセスポリシーを生成します。
        

      このソリューションでは、Access Analyzer の推奨に基づいて IAM ポリシーをデプロイできます。AWS セキュリティブログのチュートリアルを参照してください。
      

    • 原則 10: アイデンティティおよび認証

      このソリューションは、原則 10 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。
      

    • 原則 11: 外部インターフェイスの保護
      このソリューションのベストプラクティスサンプル設定は、以下のコントロールで 原則 11 を満たします。

      • AWS PrivateLink をセットアップして、AWS のサービス間のトラフィックが公衆インターネットを移動しないようにします。
    • 原則 12: 安全なサービス管理

      このソリューションは、原則 12 をサポートする特定の設定を提供しません。ただし、クラウドのセキュリティ向け AWS 設定を使用することにより、この原則の要件を満たすことができます。詳細については、AWS ISO と PCI 認定、SOC レポートなどの AWS のセキュリティとコンプライアンスのドキュメントを参照してください。これらのレポートは、AWS Artifact からダウンロードできます。
      

    • 原則 13: 監査情報とお客様へのアラート

      このソリューションのベストプラクティスサンプル設定は、以下のコントロールで原則 13 を満たします。

      • AWS CloudTrail をセットアップして、ソリューション環境内のすべてのアカウントにおいてユーザー、ロール、または AWS のサービスによって行われたすべてのアクションを記録し、365 日間安全に保存します。
      • 不正な変更を防止するために、AWS CloudTrail ログを制限された読み取り専用アクセスが設定された個別の AWS アカウントに保存します。
      • AWS Security Hub で以下の重要度レベルのイベントが検出されたときに電子メールアラートを送信します。
        • 低
        • 中
        • 高
          
    • 原則 14: サービスの安全な利用

      原則 14 をサポートするために、このソリューションは、AWS で規範的なセキュリティのベストプラクティスを導入することを検討しているお客様を支援します。このソリューションを AWS Well Architected フレームワークや AWS Trusted Advisor などのその他のリソースとサービスと組み合わせて使用して、設計によるセキュリティを備えたアーキテクチャを迅速に実装できます。
      

       

  • カナダ

  • カナダ
    

    堅牢で規範的なアーキテクチャをデプロイするためにカナダサイバーセキュリティセンター (CCCS) Cloud Medium (以前の名称は Protected B, Medium Integrity, Medium Availability [PBMM]) 設定が構築されています。このアーキテクチャは、ITSP.50.105 に説明されているように、ATO (Authority to Operate) を受け取るために必要なコントロールに対処するお客様を支援することを目的に設計されています。
    

    この設定をデプロイすると、CCCS Cloud Medium コントロールの実装時間を 90 日強から 2 日に短縮できます。Landing Zone Accelerator on AWS ソリューションを使用してお客様の責任となる一般的なコントロールに対処することに加えて、CCCS Cloud Medium 評価の対象となる継承コントロールを使用することにより、Security Assessment & Authorization (SA&A) プロセスを加速することができます。

    お客様は、カナダ政府 (GC) の Cloud Operationalization Framework の一部として最低ガードレールを満たすこともできます。Landing Zone Accelerator on AWS ソリューションを使用して最低ガードレールを満たすことにより、ワークロードの機密性が変更された場合に CCCS Cloud Medium コントロールをサポートすることもできます。構成ファイル内でパラメータを調整することにより、カスタムアーキテクチャをデプロイして政府と民間セクターの広範な要件を満たすことができます。

    この設定をインストールするには、GitHub で公開されている ランディングゾーン Accelerator for CCCS Cloud Medium のサンプル設定ファイルと手順を使用してください。

    注意: Landing Zone Accelerator on AWS ソリューションは、CCCS Cloud Medium プロファイルに即して AWS 環境をデプロイすることを検討する公共部門のお客様の推奨ソリューションになりました。これまで、カナダの公共部門のお客様は、CCCS Cloud Medium プロファイルに準拠するために AWS Secure Environment Accelerator をデプロイして、責任共有モデルにおいてお客様の責任となるコントロールに対処していました。リリースバージョン 1.3.0 以降の Landing Zone Accelerator on AWS ソリューションは、AWS Secure Environment Accelerator ソリューションと同じコントロールをカバーします。現在 AWS Secure Environment Accelerator ソリューションを使用している場合、Landing Zone Accelerator on AWS ソリューションに移行する期限は現時点では設定されていません。

• 業界固有の設定

  AWS のベストプラクティスと業界固有のコンプライアンスフレームワークに合わせて Landing Zone Accelerator on AWS ソリューション向けに以下の業界固有の設定が構築されています。目的の業界を選択してデプロイ手順を表示してください。

  注意: クラウドのセキュリティに関する詳細は、AWS Artifact の AWS サードパーティセキュリティおよびコンプライアンスレポートに含まれています。

  • 航空宇宙
  • 政府機関の中央 IT (米国州政府と地方自治体)
  • 教育
  • 金融 (税金)
  • 医療
  • 国家安全保障、防衛、国内法執行機関 (米国外)

  • 航空宇宙
  • 動画

    閉じる

    AWS Summit DC 2022 - Landing Zone Accelerator on AWS での自動ガバナンスのスケーリング

    動画を見る 

    航空宇宙 (米国)
    

    米国での航空宇宙のユースケースをサポートするには、実装ガイドで、このソリューションを AWS GovCloud (米国) リージョンに実装する手順を参照してください。以下に関する詳細が含まれています。
    

    • FedRAMP (連邦リスクおよび認可管理プログラム) High
      
    • Impact Level (IL)4 および IL5 ワークロードをホストするための DoD CC SRG (国防総省クラウドコンピューティングセキュリティ要件ガイド)
    • DoD CMMC (サイバーセキュリティー成熟度モデル認証) レディネス
    • M-21-31 ログの記録と保持に関する要件

    米国東部または米国西部の AWS リージョンにデプロイする場合、AWS の 実装ガイドを参照してください。
    
  • 政府機関の中央 IT (米国州政府と地方自治体)

  • 政府機関の中央 IT (米国州政府と地方自治体)
    

    政府機関の中央 IT 組織が直面する脅威を緩和するガードレールを提供するために米国州政府と地方自治体向けの中央 IT 設定が構築されています。これらの組織を支援するために、この設定では、以下のフレームワークのコントロールが使用されています。
    

    • 米国国立標準技術研究所 (NIST) Cybersecurity Framework の AWS コントロール
    • 医療保険の相互運用性と説明責任に関する法律 (HIPAA) に準拠するコントロール設定 (オプション)
      

    ステップ 1:スタックを起動する

    AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

    ステップ 2:初期環境のデプロイを待機する

    AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

    ステップ 3 とステップ 4:構成ファイルをコピーして更新する
    

    GitHub で公開されている Landing Zone Accelerator on AWS for State and Local Government Central IT サンプル設定の Deployment Overview にある Step 3 と Step 4 に従ってください。

  • 教育

  • 教育
    

    教育組織が直面する脅威を緩和するガードレールを提供するために教育機関向けの構成が構築されています。これらの組織を支援するために、この設定では、以下のフレームワークのコントロールが使用されています。

    • 国際武器取引規制 (ITAR)
    • 米国国立標準技術研究所 (NIST) 800-171
    • NIST 800-53
    • サイバーセキュリティ成熟度モデル認証 (CMMC)
      

    ステップ 1:スタックを起動する

    AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

    ステップ 2:初期環境のデプロイを待機する

    AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

    ステップ 3 とステップ 4:構成ファイルをコピーして更新する

    GitHub で公開されている教育機関向けの Landing Zone Accelerator on AWS サンプル設定のデプロイの概要のステップ 3 とステップ 4 に従います。

  • 金融 (税金)

  • 金融 (税金)
    

    連邦税金情報 (FTI) データを保護するセキュリティコントロールとネットワーク設定と共に、税金のワークロードで一般的に使用される口座構造をデプロイするために金融 (税金) 設定が構築されています。この設定では、お客様の管理の下でカスタマーマネージドキー (CMK) を使用して、FTI データをホストする Amazon S3、Amazon EBS、Amazon FSx の暗号化に関する IRS (アメリカ合衆国内国歳入庁)-1075 要件を満たすことができます。
    

    ステップ 1:スタックを起動する

    AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

    ステップ 2:初期環境のデプロイを待機する

    AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

    ステップ 3 とステップ 4:構成ファイルをコピーして更新する

    GitHub で公開されている Landing Zone Accelerator on AWS for Finance (Tax) サンプル設定の Deployment Overview にある Step 3 と Step 4 に従ってください。

  • 医療

  • 医療
    

    医療組織が直面する脅威を緩和するガードレールを提供するために医療機関向けの構成が構築されています。これらの組織を支援するために、この設定では、以下のフレームワークのコントロールが使用されています。
    

    • Health Insurance Portability and Accountability Act (HIPAA)
    • 英国国家サイバーセキュリティセンター (NCSC)
    • Esquema Nacional de Seguridad (ENS) High
    • クラウドコンピューティングコンプライアンスコントロールカタログ (C5)
    • Fascicolo Sanitario Elettronico
      

    ステップ 1:スタックを起動する

    AWS アカウントで AWS CloudFormation テンプレートを起動します。テンプレートパラメータを確認し、必要に応じてデフォルト値を入力または調整します。詳細な手順については、実装ガイドを参照してください。

    ステップ 2:初期環境のデプロイを待機する

    AWSAccelerator-Pipeline パイプラインが正常に完了するのを待ちます。

    ステップ 3 とステップ 4:構成ファイルをコピーして更新する

    GitHub で公開されている Landing Zone Accelerator on AWS for Healthcare サンプル設定の Deployment Overview にある Step 3 と Step 4 に従ってください。

  • 国家安全保障、防衛、国内法執行機関 (米国外)

  • 国家安全保障、防衛、国内法執行機関 (米国外)
    

    世界各地の国家安全保障組織、防衛組織、国内法執行機関は、データに関する厳しいセキュリティとコンプライアンスの要件を満たしながらクリティカルなミッションを遂行するスケール、グローバルフットプリント、アジリティ、サービスを必要としています。これらの組織では、機密データとワークロードを保護しながらミッションを遂行するために AWS グローバルハイパースケールクラウドの採用が拡大しています。
    

    これらの機密ミッションをクラウドで加速するためにTrusted Secure Enclaves Sensitive Edition (TSE-SE) for National Security, Defence, and National Law Enforcement が開発されています。 TSE-SE リファレンスアーキテクチャは、機密レベルのワークロードを対象とした包括的なマルチアカウント AWS クラウドアーキテクチャです。このアーキテクチャは、厳格で一意のセキュリティとコンプライアンスの要件への準拠を加速させることを目的に、国家安全保障、防衛、国内法執行機関、および連邦、州、地方自治体のお客様とのコラボレーションで設計されました。
    

    このアーキテクチャは、米国国立標準技術研究所 (NIST) 800-53、Information Technology Standards Guidance (ITSG)-33、米国連邦リスク認証管理プログラム (FedRAMP) Moderate、情報セキュリティ公認監査人プログラム (IRAP)、その他の機密、保護、または中程度レベルのセキュリティプロファイルなどのセキュリティフレームワークに準拠しながら中央のアイデンティティとアクセス管理、ガバナンス、データセキュリティ、包括的なログ記録、ネットワーク設計とセグメンテーションに対処するお客様を支援することを目的に設計されています。
    

    このリファレンスアーキテクチャは、以下の設計原則を使用して開発されました。
    

    • 中レベルのセキュリティコントロールプロファイルに準拠したセキュリティを実現する。
    • コストを最小限に抑えながらアジリティ、スケーラビリティ、可用性を最大化する。
    • AWS クラウドの完全な機能を実現する。
    • AWS のイノベーションのペースをサポートし、最新の技術的機能を組み込むオープン性を維持する。
    • 実際のお客様の負荷 (クラウドコンピューティングの価値提案の主要な要素) に基づいて、帯域幅の要件の拡大 (または縮小) に応じてシームレスなオートスケーリングを実現し、バインドされていない帯域幅を提供する。
    • 高可用性を実現するアーキテクチャ: 設計では複数の AWS アベイラビリティーゾーンが使用されているため、1 つのアベイラビリティーゾーンの損失がアプリケーション可用性に影響することはない。
    • 最小特権での実行: アカウントのすべてのプリンシパルは最小限のアクセス許可セットで実行するよう意図されている。
    • お客様のデータ主権に関する課題への対処を支援する。

    アーキテクチャの詳細については、TSE-SE Reference Architecture を参照してください。アーキテクチャをインストールするには、設定ファイルと手順を使用してください。

• AWS オプトインリージョン

  一部の AWS リージョンはデフォルトでアクティブ化されていません。Landing Zone Accelerator on AWS ソリューションを AWS リージョンにデプロイするには、実装ガイドを参照してください。

  注意: クラウドのセキュリティに関する詳細は、AWS Artifact の AWS サードパーティセキュリティおよびコンプライアンスレポートに含まれています。