AWSセキュリティ成熟度モデルとは？使い方やポイントを解説

公開日：2024年2月21日最終更新日:

AWSセキュリティ成熟度モデルとは

AWSセキュリティ成熟度モデルは、基準となる英語の「Security Maturity Model」を日本語訳したもので、AWSのセキュリティ設定を評価するフレームワークです。AWSから評価のために提供されていますが、位置付けとしては公式ドキュメントではなく、参考資料となっています。とはいえ、AWSが提唱している基準には違いがないため、十分な意味合いを持つものです。

セキュリティの度合いを評価するために、AWSセキュリティ成熟度モデルではCAFカテゴリーの観点から9つの項目が用意されています。

• Security Governance
• Security Assurance
• Identity & Access Management
• Threat Detection
• Vulnerability Management
• Infrastructure Protection
• Data Protection
• Application Security
• Incident Response

また、それぞれの観点について、どの程度セキュリティを高められているか4つのフェーズがあります。

• Phase 1: Quick Wins
• Phase 2: Foundational
• Phase 3: Efficient
• Phase 4: Optimized

なお、AWSセキュリティ成熟度モデルは、1つの考え方であり全てが正しいとは言い切れません。あくまでも理想的なセキュリティのモデルであり、実際に運用する場合には実現が難しいことがあります。以下では、どのように使いこなすべきか解説しますが、必ずしもその通りに実装する必要はありません。対応が難しい場合はその理由を説明できるようにし、必要に応じてセキュリティ上の問題となりかねないことを認識しておくと良いでしょう。

参考：AWS クラウド導入フレームワーク (AWS CAF)

※https://maturitymodel.security.aws.dev/en/assessment-tools/

AWSセキュリティ成熟度モデルの効果的な使い方

AWSセキュリティ成熟度モデルは、具体的にどのような実装ができていれば良いかを示しています。基本的には4段階あるフェーズの中でも、Phase1とPhase2に対応できていれば問題ないと考えられます。これを前提として、AWSセキュリティ成熟度モデルの使い方を理解していきましょう。

評価用エクセルの活用

AWSセキュリティ成熟度モデルと言われても、現時点でどこまで対応できているか評価することは難しいでしょう。そのため、まずはAWSがツールとして提供している、評価用のエクセルをダウンロードして入力していかなければなりません。「Maturity Model Assessment tool」から、評価用エクセルをダウンロードできるためまずは準備してください。

エクセルをダウンロードすると、内容は4種類のシートから構成されています。この中でも最初は「Data」シートを選択し、それぞれの質問に答えていきます。設問は英語で書かれているため、必要に応じて日本語訳しながら読み解いていきましょう。

具体的に入力してみると以下の通りです。

何かしら対応できていない部分があるならば、後から見返せるようにコメントを入力しておくと良いでしょう。また、対応できない理由があるならば、その点についても入力しておくと、後から関係者と情報共有がしやすくなります。

それぞれの項目を入力していくと「Results」シートにその内容が集約されていきます。項目について重み付けなどされているため、現在どのような状況にあるのか簡単に把握することが可能です。

今回はPhase1しか対応していないものとして回答しているため、それ以外の部分については0%表示となりました。また、Phase1についても全てが100%ではないため、部分的に黄色い警告マークが表示されています。まずは、深く悩みすぎることなく、全ての質問に答えて現状を把握することを優先してください。

課題点の洗い出し

エクセルシートへの回答が完了すると、自分たちが運用するAWSのどこに問題があるかが見えてくるはずです。具体的には、Resultsシートで100%になっていない部分に問題があります。意図的に対応していないのか、今まで対応の必要性に気づいていなかったのかなどを評価していきましょう。

意図的に対応しない理由がある場合を除いて、Phase1とPhase2は100%にすることを心掛けるべきです。AWSが提唱する最低限のベストプラクティスと言えるものであるため、これらが100%でないとセキュリティ上の問題があると言わざるを得なくなります。今回はAWSのセキュリティモデルとして紹介していますが、他社のクラウドサービスなどでも、同等のセキュリティ対策が求められていると認識しましょう。

Phase1とPhase2は早急に対応する

繰り返しにはなりますが、Phase1とPhase2に課題が見つかったならば、可能な限り早急に対応することが重要です。特にAWSセキュリティ成熟度モデルを利用するほどセキュリティに関心があるならば、是非とも対応してもらいたい部分といえます。AWSの不正利用などにもつながりかねないため、ガバナンスなどの観点からも対応しておくことが望ましいのです。

Phase3以降は体制づくりなどから計画的に進める

言い換えるならばPhase3とPhase4は早急に対応する必要はありません。また、対応できるならば対応すべきですが、何かしらの事情で難しい場合は見送っても良いでしょう。例えば、社内でセキュリティに詳しいエンジニアが在籍していない場合、Phase3以降の運用は難しいかもしれません。必要以上に運用負荷がかかるくらいならば、設定を見送るという判断も必要になってしまいます。

また、焦ってPhase3やPhase4に取り掛かるよりも、社内の体制作りなどに力を入れた方が良いこともあるはずです。例えば、セキュリティインシデントが発生した場合の連絡先や対処を決定するためには、専用部署を設けるなどの準備が求められます。もはやAWSの内部では完結しない事案であるため、焦る必要はないのです。

AWSセキュリティ成熟度モデルで注目したいポイント

AWSセキュリティ成熟度モデルには多くの項目があるため、具体的にどこから対応すれば良いのかイメージできないかもしれません。もし、作業に優先順位をつけるならば以下から着手すべきです。

多要素認証の導入

rootユーザーはもちろん、可能な限り全てのユーザーについて多用する認証を設定しておきましょう。近年は、どのようなWebサービスでも多要素認証が導入されているため、AWSについても例外なく適用すべきです。多要素認証が設定されていなければ、第三者から攻撃を受けてIDやパスワードを解析され、不正アクセスの被害に遭ってしまうかもしれません。

なお、多要素認証の実装方法は複数用意されていますが、アプリを利用した仮想的なもので良いでしょう。認証用のハードウェアを準備することは、コスト面で現実的ではないため、スマートフォンにアプリを導入する方法で対応します。

セキュリティ関連サービスの有効化

AWSにはセキュリティを高めるサービスがいくつもあり、それらを有効化できているかの評価項目があります。もし、これらのサービスのうち有効化できていないものがあるならば、早急に有効化しましょう。セキュリティ関連サービスは無料で利用できるものが多く、有効化を渋る理由はありません。

なお、これらのサービスをどのように運用すれば良いかは、別の記事で解説しています。設定方法や運用方法がわからない場合は、是非ともこちらの内容をご参考にしてください