AWS Well-Architectedフレームワークの第4の柱: データ保護

2019.12.12

トピック: データ保護、AWS Well-Architectedフレームワークの5本の柱

2019年11日19日、Rich Turner

このブログはAWS Well-Architectedフレームワークの5本の柱に関するシリーズ（7つのブログ）の第5の記事です。シリーズ全体については、Five Pillars for well-architected AWS securityをご参照ください。

ネットワークのデータ保護はバックアップと同じである場合が多いですが、実際は、バックアップはデータ保護と多少、異なっています。バックアップはクラウドインフラストラクチャ内の一部またはすべてのデータのスナップショットです。このデータは、保管中のデータであるため、バックアップの時点でしか正確ではありません。侵害を修復（データをリストア）できるように、バックアップを行っても、最新のバックアップの日付からデータをリストアする時点までに、かなりの時間が経過している可能性があります。

GDPR（EU一般データ保護規則）などの最近の法律によって、セキュリティプロフェッショナルは、保管中のデータだけでなく、伝送中のデータも保護するというはるかに困難な問題に取り組む必要が生じています。伝送中のデータは、ネットワーク外に移動するか、ノード間を移動する場合が非常に多いです。つまり、伝送の一部として実行される悪意のある動作の影響を受けやすいということです。

暗号化は、保管中のデータと伝送中のデータの両方を保護する最も一般的な方法ですが、包括的なソリューションではありません。ネットワークセキュリティ管理だけでなく、データポリシーによっても、別のセキュリティレイヤが追加されます。リスクにさらされていると分類されたデータは、アクセスまたは移動しようとすると常に、アラートの表示からアクセスまたは移動の禁止まで、特定のポリシーが適用される可能性があります。

データ保護の一部と見なす必要があるデータ操作は他にもあります。その一つはアーカイブです。アーカイブ済みのメールは、明らかに保管中のデータですが、データ保護全体の中で考える必要があります。もう一つは脅威の継続的なスキャンです。スキャンは、伝送中のデータだけでなく、すべてのデータを対象とする必要があります。Amazon S3（Simple Storage Service）バケット内の潜在的な脅威を含むメールを検出することは非常に一般的であり、このようなメールは、ごみ箱フォルダまたはスパムフォルダにある場合が多いです。このようなメールを誤って開いて、マルウェアが実行されることがないように、このようなメールが潜在的な脅威を含んでいると認識することは重要です。

リスクにさらされていると分類されたデータは、アクセスまたは移動しようとすると常に、アラートの表示からアクセスまたは移動の禁止まで、特定のポリシーが適用される可能性があります。また、データの分類は、自明の機密度に基づいてデータを整理する方法として活用できるため、最終的には、暗号化ツールとアクセスの自動化につながります。

設計が優れたデータ保護を開発するには、下記を行う必要があります。