AWS セキュリティ成熟度モデル

CAF レベル Start Advance Excel
CAF 機能 フェーズ 1: クイックウィン フェーズ 2: 基礎 フェーズ 3: 効率化 フェース 4: 最適化
セキュリティ ガバナンス セキュリティ連絡先の割当て リージョンの選択と無効化 コンプライアンスと規制要件の特定 セキュリティ研修計画 セキュアなアーキテクチャ設計 Infrastructure as Code の活用 タグ付け戦略 セキュリティタスクの責任分担
セキュリティ 保証 クラウドセキュリティポスチャ管理 (CSPM) インベントリと設定モニタリング コンプライアンスレポートの作成 監査証拠の収集自動化
アイデンティティと アクセス管理 多要素認証 (MFA) ルートの保護 ID フェデレーション 意図しないアクセス権限の削除 組織のアクセス許可ガードレール 一時的な認証情報の使用 IMDSv2 最小権限の見直し 顧客 ID とアクセス管理(CIAM) IAM データ境界の活用 IAM ポシリー生成パイプライン 一時的な昇格アクセスの管理
脅威検知 基本の脅威検出 API 呼び出し監査 請求アラーム 高度な脅威検出 カスタム脅威検出 (SIEM/SecLake) 脅威インテリジェンスの活用 VPC フローログの分析
脆弱性管理 インフラの脆弱性管理 アプリケーションの脆弱性管理 セキュリティチャンピオンの配置 DevSecOps とパイプライン 脆弱性管理チームの編成
インフラストラクチャ保護 危険な通信ポートのブロック ネットワークアクセスの制限 EC2 インスタンスの安全な管理 ネットワークのセグメント化 マルチアカウント管理 ゴールデンイメージパイプライン マルウェア対策 アウトバウンド通信の制御 ゼロトラストアクセスの実装 抽象化サービスの利用
データ保護 パブリックアクセスのブロック データセキュリティポスチャの分析 保存時のデータ暗号化 データのバックアップ 機密データの検出 通信の暗号化 生成 AI データの保護
アプリケーションセキュリティ WAF とマネージドルールの活用 セキュリティチームの関与 コード内のシークレット管理 脅威モデリングの実施 WAF とカスタムルールの実装 DDoS 攻撃 (レイヤー7) の緩和 レッドチームの編成
インシデント レスポンス 重大なセキュリティ検出結果への対応 インシデント対応プレイブック インシデント机上演習の実施 重要なプレイブックの自動化 セキュリティ調査と原因分析 ブルーチームの編成 高度なセキュリティ自動化 SOAR の活用とチケット管理 設定不備の自動修正
レジリエンス レジリエンスの評価 マルチ AZ による可用性向上 ディザスタリカバリプラン ディザスタリカバリの自動化 カオスエンジニアリングの実施