こんにちは、さとうです、

米国NIST（技術標準研究所）から

の邦訳版が公開されています。

本ガイドの目的は、媒体の廃棄や再利用を必要とする場合、または組織の有効な管理から媒体が離れることになる場合の意思決定を支援することです。

媒体及び情報の最終的なデータ抹消処理や廃棄についての効果的なリスクベースの意思決定を行うため、本ガイドと併せて現場のポリシー及び手順を策定し、使用すべきとしています。

本ガイドでは、データ抹消処理（サニタイズ）の分類は以下３つのように定義しています。

すべてのユーザアドレス指定可能なストレージ領域のデータに対してデータ抹消処理を行うための論理的な技術を適用し、単純な非侵襲のデータ回復技術から保護する。

通常は、新しい値で書き換えたり、メニューオプションを使用してデバイスを工場出荷時の状態にリセットしたりする（書き換えがサポートされていない場合）など、ストレージデバイスへの標準的な読み書きコマンドを介して実行される。

物理的又は論理的な技術を適用して、最先端の研究室レベルの技術を使用しても対象データの回復を不可能にする。

最新の研究室レベルの技術を使用しても対象データの回復を不可能にし、かつその後のデータの保存に当該媒体が使用できないようにする。

また、本ガイドでは「最低限のデータ抹消処理についての推奨事項」として、各媒体ごと適切と考えられるデータ抹消処理の方法について記載しています。
以下に一例を簡単に紹介します。

　・消去：－

　・除去：－

　・破壊：分解装置や焼却

　※注意：素材を燃やした場合、白い灰になるまで燃やさなければならない

　・消去：工場出荷時のデフォルト設定にリセット

　・除去：－（メーカーに問い合わせが必要）

　・破壊：細断、分解、粉砕、又は認可された焼却炉で焼却

　※注意：消去と除去については、適切なデータ抹消処理手順に関する追加情報をメーカに問い合わせる必要がある

　・消去：完全データ抹消処理オプションを選択

　・除去：完全データ抹消処理オプションを選択

　・破壊：細断、分解、粉砕、又は認可された焼却炉で焼却

　※注意：消去／除去操作の後、デバイスの複数の領域（ブラウザ履歴、ファイル、写真など）に手動で移動して、デバイス上に個人情報が保持されていないことを確認

　・消去：工場出荷時リセットを実行

　・除去：工場出荷時データリセットオプション

　・破壊：細断、分解、粉砕、又は認可された焼却炉で焼却

　※注意：消去／除去操作の後、デバイスの複数の領域（ブラウザ履歴、ファイル、写真など）に手動で移動して、デバイス上に個人情報が保持されていないことを確認

　・消去：工場出荷時のデフォルト設定にリセット

　・除去：－

　・破壊：を細断、分解、粉砕、又は認可された焼却炉で焼却

　※注意：デバイスの複数の領域（保存されたファクス番号、ネットワーク構成情報など）に手動で移動して、デバイス上に個人情報が保持されていないことを確認

　・消去：上書き技術／方法／ツールを使用して媒体を上書き

　・除去：（媒体によるが）該デバイスのデータ抹消処理

　・破壊：細断、分解、粉砕、又は認可された焼却炉で焼却

　※注意：消去技術及び除去技術の各々について検証が必要

　・消去：－

　・除去：－

　・破壊：以下の方法で破壊

光ディスク粉砕装置て CD 媒体の情報含有層を取り除く（CDのみ）

光ディスク媒体を焼却（灰になるまで）

光ディスク媒体シュレッダまたは分解装置で破砕

　※注意：－

　・消去：上書き技術／方法／ツールを使用して媒体を上書き

　・除去：－（メーカに問い合わせが必要）

　・破壊：細断、分解、粉砕、又は認可された焼却炉で焼却

　※注意：除去が望ましいケースのほとんどは、USB リムーバブル媒体を破壊すべき

クラウドサービス等でインターネット上のデータを受け渡しをする機会が増えたものの、まだまだ媒体を使用するケースはあります。

ランサムウェア対策の観点からも取り外し可能な媒体の需要は依然として存在します。

人為的な犯罪や過失に対する防御という観点でも媒体の適切なデータ処理方法を理解しておくことが必要です。

さとう

こんにちは、さとうです、

Amazonのクラウドサービス、AWS（Amazon Web Service）で利用可能なセキュリティのサービスについて説明している

が公開されています。

（適宜更新されていると思われます）
※Azureについては「132.Azureのセキュリティサービスについて」をご参照下さい。

ここでは、セキュリティサービスを大きく以下のカテゴリに分けています。

以下に内容を見ていきます。

サービスとリソースへのアクセスを安全に管理

↓

・IAM では、きめ細かなアクセス許可を指定することで、誰が何にアクセスできるかを定義します。IAM はリクエストごとにこれらのアクセス許可を適用します。デフォルトではアクセスは拒否され、アクセス許可が「許可」を指定している場合にのみアクセスが許可されます。

クラウドシングルサインオン (SSO) サービス

↓

・ユーザーはディレクトリの認証情報を使用して、複数の AWS アカウントに Single Sign-On アクセスできます

・AWS SSO アプリケーション設定ウィザードを使用して、Security Assertion Markup Language (SAML) 2.0 をサポートしているアプリケーションへの Single Sign-On (SSO) アクセスを簡単に設定できます。

アプリケーションの ID 管理

↓

・ユーザーは Apple、Google、Facebook、Amazon などのソーシャル ID プロバイダーや、SAML や OpenID Connect などのエンタープライズ ID プロバイダーを通してサインインすることができます。

・Amazon Cognito ユーザープールは、標準ベースの ID プロバイダーであり、OAuth 2.0、SAML 2.0、OpenID Connect などの ID およびアクセス管理標準をサポートします。

Managed Microsoft Active Directory

↓

・AWS Managed Microsoft AD は実際の Microsoft AD 上に構築されていて、既存の Active Directory からクラウドにデータを同期またはレプリケートする必要はありません。

・グループポリシーオブジェクト (GPO)、ドメインの信頼関係、詳細に設定できるパスワードポリシー、グループ管理サービスアカウント (gMSA)、スキーマ拡張、Kerberos ベースの Single Sign-On など、AD管理ツールや機能を利用できます。

AWS のリソースを共有するためのシンプルで安全なサービス

↓

・AWS RAM を使用して、トランジットゲートウェイ、サブネット、AWS License Manager ライセンス設定、Amazon Route 53 Resolver ルール、およびその他のリソースタイプを共有できます。

・マルチアカウント環境では、リソースを 1 回作成し、AWS RAM を使用して、リソース共有を作成することでアカウント間でそのリソースを共有できます。

AWS アカウント全体での一元的なガバナンスと管理

↓

・AWS Organizations を使って、プログラムから新しい AWS アカウントを作成しリソースを割り当てたり、アカウントをグループ化してワークフローを整理したり、ガバナンスのためにアカウントまたはグループにポリシーを適用したり、すべてのアカウントに単一の支払い方法を利用することで請求を簡素化したりできるようになります。

・中央での設定、セキュリティメカニズム、監査要件、組織内のアカウント間でのリソース共有を定義できます。

統合されたセキュリティとコンプライアンスセンター

↓

・AWS Security Hub は、セキュリティのベストプラクティスのチェックを行い、アラートを集約し、自動修復を可能にします。

・Center for Internet Security (CIS)、Payment Card Industry Data Security Standard (PCI DSS) などの一般的なフレームワークに組み込まれたマッピング機能を使用して、コンプライアンス管理を簡素化します。

マネージド型脅威検出サービス

↓

・Amazon GuardDuty は、悪意のあるアクティビティに対して AWS アカウントとワークロードを継続的にモニタリングし、可視化と修復のための詳細なセキュリティ調査結果を提供します。

・漏洩した認証情報の使用、Amazon Simple Storage Service (S3) での異常なデータアクセス、既知の悪意のある IP アドレスからの API コールなどからガードします。

アプリケーションのセキュリティを分析

↓

・Amazon Inspector では、自動的にアプリケーションを評価し、露出、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認します。

・調査結果は直接確認することもできますが、Amazon Inspector コンソールまたは API を介して入手可能な詳細な評価レポートで確認することもできます。

AWS リソースの設定を記録して評価

↓

・AWS Configでは、AWS リソースの設定が継続的にモニタリングおよび記録され、望まれる設定に対する記録された設定の評価を自動的に実行できます。

・Config を使用すると、AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、社内ガイドラインで指定された設定に対する全体的なコンプライアンスを確認できます。

ユーザーアクティビティと API 使用状況の追跡

↓

・AWS CloudTrail は、AWS インフラストラクチャ全体のアカウントアクティビティをモニタリングして記録し、ストレージ、分析、および修復アクションをコントロールできます。

・アクティビティイベントの信頼性をモニタリング、保存、検証します。内部ポリシーや外部規制で必要とされる監査レポートを簡単に作成できます。

IoT デバイスのセキュリティ管理

↓

・AWS IoT Device Defender では、事前定義された一連のセキュリティのベストプラクティスに対して、デバイスの IoT 設定が継続的に監査されます。

・AWS IoT Device Defender は監査に不合格な場合や動作異常が検知された場合、AWS IoT コンソール、Amazon CloudWatch、Amazon SNS にセキュリティアラームをパブリッシュします。

ネットワークセキュリティ

↓

・AWS Network Firewall は、すべての Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。

・アウトバウンドサーバーメッセージブロック (SMB) リクエストをブロックして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックを詳細まで制御できるファイアウォールルールを定義できます。

DDoS 保護

↓

・AWS Shield Standard は、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。

（※Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、および Amazon Route 53 などのリソースで実行されるアプリケーションを標的とした攻撃に対する高レベルな保護には、AWS Shield Advanced を使用できます。）

悪意のあるウェブトラフィックをフィルタリング

↓

・AWS WAF では、ボットのトラフィックを制御し、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できます。

・AWS WAF は、ユーザーが作成したルールに基づいてトラフィックをフィルタリングすることにより、ウェブアプリケーションを攻撃から保護します。（たとえば、IP アドレス、HTTP ヘッダー、HTTP 本文、または URI ストリングなどのウェブリクエストの一部をフィルタリング）

ファイアウォールルールの一元管理

↓

・AWS Firewall Manager は、AWS Organizations にあるアカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにします。

・Firewall Manager を活用して、Amazon VPC の EC2 インスタンス、 Application Load Balancer (ALB) 、Elastic Network Interface (ENI) に VPC セキュリティグループルールのベースラインセットをデプロイできます。

大規模な機密データを検出して保護する

↓

・Amazon Macie は、名前、住所、クレジットカード番号などの個人情報 (PII) を含む、拡大し続けている機密データタイプの大規模なリストを自動的に検出します。

・Amazon Macie からのアラートや検出結果は AWS マネジメントコンソールからの検索やフィルタリングが可能で、 Amazon EventBridge に送信して既存のワークフローやイベント管理システムと統合したり、他のAWS のサービスと組み合わせて自動修復アクションを実行したりできます。

キーストレージと管理

↓

・AWS Key Management Service (KMS) を使用することで、暗号化キーを簡単に作成して管理し、幅広い AWS のサービスやアプリケーションでの使用を制御できるようになります。

・AWS マネジメントコンソールから、または AWS SDK か CLI を使用して、キーの権限を簡単に作成、インポート、ローテーション、削除、管理できます。

法規制コンプライアンスのためのハードウェアベースキーストレージ

↓

・AWS CloudHSM によって、FIPS 140-2 のレベル 3 認証済みのハードウェアで、暗号化キーを生成および使用できるようになります。

・AWS CloudHSM を使用すると、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、カスタムアプリケーションを統合できます。

パブリックとプライベート SSL/TLS 証明書のプロビジョン、管理およびデプロイ

↓

・AWS Certificate Manager は、AWS のサービスとお客様の内部接続リソースで使用するパブリックとプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、デプロイを実施できます。

・証明書をすばやくリクエストして、Elastic Load Balancing、Amazon CloudFront ディストリビューション、Amazon API Gateway の API など ACM に統合された AWS リソースでデプロイできます。また、証明書の更新もできます。

機密情報のローテーション、管理、取得

↓

・AWS Secrets Manager は、データベースの認証情報、API キー、その他のシークレットをそのライフサイクルを通して容易にローテーション、管理、取得できるようにします。

・たとえば、AWS Secrets Manager には Amazon RDS、Amazon Redshift、Amazon DocumentDB との統合が組み込まれており、これらのデータベースの認証情報をユーザーに代わって自動的にローテーションします。

潜在的なセキュリティ問題を調査

↓

・Amazon Detective は、AWS リソースからログデータを自動的に収集し、機械学習、統計的分析、グラフ理論を使用して、リンクされたデータセットを構築します。これによりセキュリティ調査を簡単に行えます。

・Virtual Private Cloud (VPC) Flow Logs、AWS CloudTrail、Amazon GuardDuty などの複数のデータソースから数兆個のイベントを分析し、リソース、ユーザー、およびそれらの間の経時的な相互作用の統一されたインタラクティブなビューを自動的に生成します。

高速で、自動化された、コスト効率に優れた障害対策

↓

・CloudEndure Disaster Recovery では、マシン (オペレーティングシステム、システム状態設定、データベース、アプリケーション、ファイルを含む) を、対象の AWS アカウントや希望するリージョンにある低コストのステージング領域にレプリケートし続けます。

・災害発生時には、数分のうちに、完全にプロビジョニングされた状態の、数千台のマシンを自動で起動するように、CloudEndure Disaster Recovery を設定できます。

AWS のコンプライアンスレポートにオンデマンドでアクセスできる、無料のセルフサービスポータル

↓

・AWS Artifact では、AWS のセキュリティおよびコンプライアンスレポートと特定のオンライン契約にオンデマンドでアクセスできます。

AWS の使用状況を継続的に監査して、リスクとコンプライアンスの評価方法を簡素化する

↓

・AWS Audit Managerは、AWS リソースを、CIS AWS Foundations Benchmark、一般データ保護規則 (GDPR)、PCI データセキュリティスタンダード (PCI DSS) などの業界標準または規制の要件にマッピングします。

・また、独自のビジネス要件に合わせてフレームワークとそのコントロールを完全にカスタマイズすることもできます。

無償で利用可能なサービスも含まれており、クリティカルなシステムではない、急場をしのぎたい、といった場合は非常に役立ちます。

一方で、有償サービスであっても高品質のセキュリティが要求されるような場合は、一般のセキュリティサービスと比較してどちらが本来のセキュリティ要件を満たすのかを慎重に精査する必要があります。

さとう

こんにちは、さとうです、

2021年6月17日にMicrisoftのクラウドサービス、Azureで利用可能なセキュリティのサービスについて説明している

が公開されています。

（適宜更新されていると思われます）
※AWSについては「133.AWSのセキュリティサービスについて」をご参照ください。

ここでは、セキュリティサービスを大きく以下のカテゴリに分けています。

以下に内容を見ていきます。

（ここは少し細かく見ていきます）

ハイブリッド クラウド ワークロード全体でセキュリティ管理と高度な脅威保護を実現するクラウドのワークロードを保護するソリューションです。

↓

現在ではAzure Security Center と Azure Defender は Microsoft Defender for Cloud と呼ばれているそうです。

この中身は以下の通りです。

・継続的な評価：セキュリティ スコア（現在のセキュリティの状況を一目で確認できるようにするスコアリングする）

・セキュリティ保護：セキュリティに関する推奨事項（推奨事項の優先順位付きの一覧を表示する）

・防御：セキュリティアラート（環境のいずれかの領域で脅威が検出されるとアラートを生成する）

パスワード、接続文字列およびアプリの動作に必要なその他の情報を格納するセキュリティで保護された機密データ ストアです。

↓

この中身は以下の通りです。

・シークレットの管理：トークン、パスワード、証明書、API キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できる。

・キー管理：データの暗号化に使用される暗号化キーの作成と制御が行える。

・証明書の管理：パブリックおよびプライベートのTLS/SSL証明書を簡単にプロビジョニング、管理、デプロイできる。

アプリとリソースの操作の分析情報を提供する、製品利用統計情報およびその他のデータを収集する、クエリ言語および分析エンジンを提供する監視サービスです。 単独で使用することも、Security Center などのその他のサービスと共に使用することもできます。

↓

この中身は以下の通りです。

・Log Analytics： Azure portal 内で、ログクエリを編集したり、その結果を対話形式で分析したりするための主要なツール

・ログの警告ルール：ワークスペースのデータの問題を事前に特定する。 各警告ルールは、定期的に自動実行されるログクエリに基づく

・Workbooks：さまざまな視覚化を使用したログクエリの結果を、Azure portal の対話形式のビジュアル レポートに含める

・Azureダッシュボード：クエリの結果を Azureダッシュボードにピン留めすることで、ログとメトリックのデータをまとめて視覚化し、必要に応じて、他のAzure ユーザーと共有することができる

・Logic Apps：自動ワークフローでログクエリの結果を使用する

・PowerShell：コマンド ラインまたは Invoke-AzOperationalInsightsQuery を使用する Azure Automation Runbook からのログ クエリの結果を、PowerShellスクリプトで使用する

・Azure Monitor Logs API：任意の REST API クライアントのワークスペースからログ データを取得する

無駄を最小限に抑え、コストを管理しつつ、Azure で迅速に環境を作成するためのサポートを開発者とテスト担当者に提供するサービスです。

↓

この中身は以下の通りです。

・再利用可能なテンプレートとアーティファクトを使用することで、Windows と Linux の環境をすばやくプロビジョニングする

・デプロイパイプラインと DevTestラボを簡単に統合し、オンデマンドの環境をプロビジョニングする

・複数のテストエージェントをプロビジョニングしてロードテストをスケール アップし、トレーニングおよびデモの事前プロビジョニング済み環境を作成する

（ここは少し細かく見ていきます）

Azure ストレージのデータを自動的に暗号化するセキュリティ機能です。

↓

Azure Storage内のデータを、256ビットAES 暗号化を使って透過的に暗号化を行う（FIPS 140-2に準拠している）

オンプレミスのデバイスと Azure クラウド ストレージ間のストレージ タスクを管理する統合ストレージ ソリューションです。

↓

StorSimple Device Manager サービスを使用してStorSimple Virtual Array のセキュリティ設定を構成、管理する（クラウドでの暗号化には、Microsoft Azure API を利用する）

Microsoft Azure Storage にアップロードする前にクライアント アプリケーション内のデータを暗号化するクライアント側の暗号化ソリューションです。ダウンロード中には、データを復号化します。

↓

ストレージ クライアント ライブラリは AES を使用して、ユーザー データを暗号化する

Shared Access Signature（SAS）を使用すると、ストレージ アカウント内のリソースへの委任アクセスが可能になります。

↓

クライアントがデータにアクセスする方法をきめ細かく制御できる。

　－クライアントがアクセスできるリソース

　－それらのリソースに対するアクセス許可

　－SAS が有効である期間

ストレージ アカウントへのアクセス時に、Azure ストレージの認証で使用されるアクセス制御メソッドです。

↓

クライアントは、アカウントアクセスキーまたはAzure ADアカウントのいずれかを使用して、ストレージ アカウントへの要求を承認できる (既定)。 この設定を無効にすると、アカウントアクセスキーによる承認はできなくなる

ネットワークで、サーバー メッセージ ブロック (SMB) ファイル共有プロトコルの自動的な暗号化を有効にするネットワーク セキュリティ テクノロジです。

ストレージ アカウントのデータのログとメトリックを生成するテクノロジです。

↓

・ログに記録される要求ステータス メッセージの例

　－Success

　－AnonymousSuccess

　－AnonymousClientOtherError

　－ServerOtherError

・ログに記録される操作の例

　－キャンセル

　－閉じる

　－作成

　－書き込み

データベースへのネットワーク経由の攻撃から保護するためのネットワークのアクセス制御機能です。

詳細なレベルで暗号化を提供するデータベース セキュリティ テクノロジです。

SQL Database では、セキュリティを提供するために、IP アドレスで接続を制限するファイアウォール規則、ユーザーに ID の指定を要求する認証メカニズム、およびユーザーを特定の操作とデータに限定する承認メカニズムによって、アクセスを制御します。

Azure SQL Database や SQL Server データベースに格納された、クレジット カード番号や国民識別番号 (米国の社会保障番号など) のような機密データを保護することを目的とした機能です。

データベース全体のストレージを暗号化するデータベース セキュリティ機能です。

データベース イベントを追跡し、それを Azure Storage アカウントの監査ログに書き込むデータベース監査機能です。

組織内でのロールに基づき、必要なリソースのみにアクセスすることをユーザーに許可するアクセス制御機能です。

マルチテナントのクラウドベースのディレクトリと Azure 内で複数の ID 管理サービスをサポートするクラウド ベースの認証リポジトリです。

Azure ベースのアプリケーションの使用時に、顧客のサインアップ、サインイン、プロファイル管理を制御する ID 管理サービスです。

Active Directory Domain Services のクラウドベースのマネージド バージョンです。

セキュリティで保護された情報へのアクセスを許可する前に、いくつかの異なる認証および検証形式が使用されるセキュリティ対応の機能です。

Azure クラウドのデータをバックアップおよび復元するために使用される Azure ベースのサービスです。

物理マシンと仮想マシン (VM) で実行中のワークロードでエラーが発生した場合にその復旧を可能にする、プライマリ サイトからセカンダリ ロケーションにワークロードをレプリケートするオンライン サービスです。

タプルが 5 つ使用された、意思決定を許可または拒否することができるネットワーク ベースのアクセス制御機能です。

Azure Virtual Network へのクロスプレミス アクセスを許可する VPN エンドポイントとして使用されるネットワーク デバイスです。

URL に基づいてルーティングし、SSL オフロードを実行できる、高度な Web アプリケーション ロード バランサーです。

一般的な脆弱性やその悪用から Web アプリケーションを一元的に保護する Application Gateway の機能です。

TCP/UDP アプリケーション ネットワーク ロード バランサーです。

オンプレミス ネットワークと Azure Virtual Network 間の専用 WAN リンクです。

グローバルな DNS ロード バランサーです。

オンプレミスでホストされている Web アプリケーションのリモート アクセスをセキュリティで保護するための認証フロントエンドです。

Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。

アプリケーション設計のベスト プラクティスと組み合わせることにより、DDoS 攻撃に対する防御が提供されます。

直接接続によって、仮想ネットワークのプライベート アドレス空間と VNet の ID が Azure サービスまで拡張されます。

以上に挙げたものは、Azureが提供するセキュリティサービスの代表的なもので、詳細に見ていくと他にも様々なサービスがあります。

例えば、Azure Firewallの上位サービスであるAzure Firewall Premiumには、TLS インスペクション、IDS/IPS（シグネチャベース）、URLフィルタリング（HTTP と HTTPS の両方に対応可能）などのサービスも含みます。

またほかにも、DDoS ProtectionについてはDDoS Protection Basic は最初からデフォルトで組み込まれていて、上位サービスであるAzure DDoS Protection Standardは有償となります。

とはいえ、Azure自体が提供するセキュリティサービスにも対応可能な部分と不可能な部分があるため、コスト面だけに注目するのではなく、サービスがカバーする範囲もよく見極めて選択する必要があります。

さとう