CSA CCM (Cloud Controls Matrix) フレームワークは、Cloud Security Alliance (CSA) によって開発された、クラウド コンピューティング用のサイバーセキュリティ制御フレームワークです。組織がクラウド インフラストラクチャとサービスの全体的なセキュリティ体制を評価するのに役立つ、構造化され標準化された一連のセキュリティ制御を提供するように設計されています。
CSA CCM フレームワークがクラ​​ウド リスク管理ツールとしてどのように機能するかを次に示します。
* 包括的な制御: CCM は、クラウド テクノロジーのすべての主要な側面をカバーする 17 のドメインに構造化された 197 の制御目標で構成されています。
* リスク評価: クラウド実装の体系的な評価に使用でき、どのセキュリティ制御を実装する必要があるかについてのガイダンスを提供します。
* 標準との整合: 制御フレームワークは、クラウド コンピューティングに関する CSA セキュリティ ガイダンスやその他の業界で認められたセキュリティ標準および規制に準拠しています。
* 共有責任モデル: CCM は、クラウド サービス プロバイダー (CSP) と顧客 (CSC) 間の共有責任モデルを明確にします。
* 監視と測定: CCM には、測定対象とリスクの許容可能な変動を定義するのに役立つメトリックと実装ガイドラインが含まれています。
参考文献:
* クラウド コントロール マトリックス (CCM) に関する CSA の公式ドキュメント。クラウド リスク管理ツールとしての使用方法を概説しています1。
* CSA の Cloud Controls Matrix v4 のチェックリストを紹介する記事で、クラウド環境でのリスク管理にどのように使用できるかについて説明します2。

Microsoft Defender for Cloud は、Georgia Lyman が組織の Azure アカウント内で異常なアクティビティを検出し、重大度レベルを指定したアラートを作成するのに役立つサービスです。
* 異常なアクティビティの検出: Microsoft Defender for Cloud は、行動分析と異常検出1 に基づく異常なアクティビティの検出を含む、高度な脅威保護を提供します。
* アラート作成: 不正なアクティビティに対するカスタム アラートを作成できます。アラートは特定の重大度レベルで構成でき、調査プロセスの優先順位を決定できます1。
* 重大度レベルの優先順位付け: このサービスでは、アラートの重大度レベルを設定できるため、優先度の高い問題が最初に分析され、適切なアクションがタイムリーに実行されます2。
* 監視と管理: Microsoft Defender for Cloud を使用すると、Georgia は単一の集中ダッシュボードから Azure リソースのセキュリティ体制を表示および管理できるため、潜在的な脅威の監視と対応が容易になります1。
参考資料: Microsoft Defender for Cloud は、Azure セキュリティ管理用の統合ツールであり、Azure サービス全体にわたって脅威からの保護、アラート、セキュリティ態勢管理を提供します1。これは、Georgia Lyman のようなクラウド セキュリティ エンジニアがセキュリティの脅威を効果的に検出して対応できるように設計されています。

Amazon Simple Queue Service (Amazon SQS) は、SQS 管理の暗号化キーまたは AWS Key Management Service (AWS KMS) で管理されるキーを使用して、キュー内のメッセージの内容を保護するためのサーバー側暗号化 (SSE) をサポートしています。
* Amazon SQS で SSE を有効にする: 新しいキューを作成するとき、または既存のキューを更新するときに、サーバー側の暗号化のオプションを選択して SSE を有効にできます。
* 暗号化キーの選択: デフォルトの SQS 管理キー (SSE-SQS) を使用するか、AWS KMS でカスタムのカスタマー管理キー (SSE-KMS) を選択するかを選択できます。
* 安全なデータ転送: SSE を有効にすると、メッセージは Amazon SQS が受信するとすぐに暗号化され、暗号化された形式で保存されます。
* 承認されたコンシューマーの復号化: Amazon SQS は、承認されたコンシューマーに送信された場合にのみメッセージを復号化し、転送中のメッセージ コンテンツのセキュリティを確保します。
参考資料:Amazon SQS は、SQS 管理の暗号化キーまたは AWS KMS1 のカスタマー管理のキーを使用して、キュー内の機密データを保護するためのサーバー側の暗号化を提供します。この機能は、厳格な暗号化コンプライアンスと規制要件を満たすのに役立ち、安全なメッセージ送信が重要なシナリオに適しています12。

アマゾンS3
探検する
Amazon Macie は、機械学習とパターンマッチングを使用して AWS 内の機密データを検出し保護する、完全に管理されたデータセキュリティおよびデータプライバシーサービスです。Amazon S3 ストレージをサポートするように特別に設計されており、S3 バケットのインベントリを提供し、SecGlob Cloud Pvt. Ltd. などの組織が機密データを識別して保護するのに役立ちます。
Amazon Macie が Martin の要件を満たす方法は次のとおりです。
* 機密データの識別: Macie は、S3 バケット内の個人識別情報 (PII) などの機密データを自動的かつ継続的に検出します。
* インベントリと監視: S3 バケットのインベントリを提供し、パブリックにアクセス可能、暗号化されていない、組織外のアカウントと共有されているバケットの詳細を示します。
* アラートとレポート: Macie は、不正アクセスや不注意によるデータ漏洩を検出すると、詳細なアラートとレポートを生成します。
* データ セキュリティ体制: S3 バケットを保護するための実用的な推奨事項を提供することで、データ セキュリティ体制の改善に役立ちます。
* コンプライアンス サポート: Macie は、データ アクセス パターンを監視し、機密データがポリシーに従って処理されるようにすることで、コンプライアンスの取り組みを支援します。
参考文献:
* S31 で機密データを保護する機能について概説した、Amazon Macie に関する AWS ドキュメント。
* Macie を使用して S3 バケット内の機密データを識別および保護する方法について説明した AWS ブログ投稿1。

Infrastructure-as-a-Service (IaaS) クラウド コンピューティング サービス モデルでは、クラウド サービス プロバイダーが、オペレーティング システム、ハイパーバイザー、物理インフラストラクチャ、ネットワーク セキュリティなどのインフラストラクチャの管理を担当します。同時に、顧客はユーザー アクセス、アプリケーション、データ セキュリティの管理を担当します。
* クラウド サービス プロバイダーの責任: IaaS では、プロバイダーは物理ハードウェア、ストレージ、ネットワーク機能の責任を負います。また、仮想化レイヤーまたはハイパーバイザーのセキュリティも確保します。
* 顧客の責任: 一方、顧客はオペレーティング システム、ミドルウェア、ランタイム、アプリケーション、およびデータを管理します。これには、ユーザー アクセスのセキュリティ保護とアプリケーション レベルのセキュリティ対策が含まれます。
* 柔軟性と制御: IaaS は、顧客に高度な柔軟性と環境の制御を提供し、必要なプラットフォームやアプリケーションをインストールできるようにします。
* IaaS の例: Amazon EC2、Google Compute Engine、Microsoft Azure Virtual Machines などのサービスは、IaaS サービスの例です。
参照: 共有責任モデルは、クラウド コンピューティングの基本原則であり、クラウド サービス プロバイダーと顧客のセキュリティ義務を概説して、クラウドでの説明責任とセキュリティを確保します。IaaS モデルでは、クラウド プロバイダーがインフラストラクチャのセキュリティを確保する一方で、顧客は管理するコンポーネントを保護する必要があります。