高度なセキュリティ自動化

クラウド上では、オンプレミスよりもはるかに高度なインシデント対応の自動化が可能です。これは、インシデント対応プロセスで意思決定に必要なすべての情報(AWS CloudTrail の完全な API 呼び出しログ、AWS Config による構成インベントリと変更履歴など)を通常は持っており、さらにAWS EventBridge によってサービスを統合できるため、特定のイベントに対する対応フローを実現できるためです。

以下の動画では、数分で実行できる高度なインシデント対応プロセスの自動化例を紹介しています。

主なリスクと軽減

  • セキュリティインシデント発生時、インシデント対応者が証拠を収集し脅威を封じ込めるまでの時間は、インシデントの影響を軽減するために極めて重要です。自動化はインシデント対応の迅速化と被害の最小化に役立ちます。

評価のガイダンス

  • 侵害されたコンピューティングリソース (EC2 インスタンスなど) のフォレンジック情報を収集する自動化された方法がありますか?
  • 侵害されたコンピューティングリソースを隔離する自動化された方法がありますか?
  • 自動化を適切にテストしましたか?
  • 人間の承認が必要な場合: 承認は複数の人に回っていますか?決定を下すための SLA とエスカレーションルールはありますか?
  • 人間の承認が不要な場合: リソースを自動的に隔離する際に、関連するビジネスプロセスは考慮されていますか?隔離による影響は、被害よりも利益の方が大きくなるようにしていますか?