クラウドセキュリティのベストプラクティス・ガイドラインを実施することで、クロフォードテクノロジーズは適切なセキュリティ対策を実施し、顧客が信頼できる「ワールドクラス」のサービスとともに「ベスト・オブ・ブリード」のセキュリティプラクティスを提供している。
背景
Crawford Technologies, Inc (CrawfordTech)は、25年以上にわたり独立系ソフトウェアベンダー(ISV)として活動してきました。絶え間ないイノベーションにより、CrawfordTechは技術トレンドの最前線に立ち続けています。創業以来、CrawfordTechは以下の5つの原則を念頭にソフトウェアとソリューションの開発に取り組んできました:
- 総所有コスト(TCO)を最小限に抑える
- 明確なアップグレードパスを提供する
- 既存の強みを活かします。
- 革新と信頼性のバランスをとる。
- お客様のセキュリティを確保する
業界リーダー
2008 年以来、CrawfordTech は、HIPAA、PCI-DSS、GLBA およびその他のコンプライアンス要件を満たす、完全に認定された SOC2-HITRUST データ センターであるドキュメント アクセシビリティ サービス センターを管理しています。
この取り組みで得られた経験と専門知識により、CrawfordTech は Amazon Web Services (AWS) 内に SOC2-HITRUST の原則とガイドラインに完全に準拠した仮想プライベートクラウド (VPC) を確立することができました。CrawfordTech の SaaS サービスは、すべての AWS データセンターで Amazon が提供する固有のセキュリティと、CrawfordTech が特別に確立したセキュリティ規定の恩恵を受けています。
AWS と CrawfordTech 間のこの共同責任は、Amazon によってベストプラクティスとして確立され、次のページで説明されているプロセスと手順に従って確立されました。
CrawfordTech のセキュリティ
変換により暗号化されたPDFファイルを作成する
PRO Lockdownは、安全なワークフロー処理のためにページレベルの文書暗号化を提供します。
- 安全なアルゴリズム
- ファイル全体を一度に
- 各ページ/文書に異なるキーが設定
- キー管理
- Redaction Expressは、広範な再編集をサポートします。
署名付きPDFはデジタル署名付きPDFファイルを作成します
処理センターはPCIDSS、HIPAA、SOC2/HITRUSTの認定を受けています
建築
この共有モデルにより、AWS がホストオペレーティングシステムと仮想化レイヤーからサービスが稼働する施設の物理的なセキュリティに至るまでのコンポーネントを運用、管理、制御するため、CrawfordTech と顧客の運用上の負担が軽減されます。CrawfordTech は、ゲストオペレーティングシステム (更新とセキュリティパッチを含む)、その他の関連アプリケーションソフトウェア、および AWS が提供するセキュリティグループファイアウォールの構成の責任と管理を引き受けます。CrawfordTech は、すべての仮想化ハードウェア、アプリケーション、およびシステムソフトウェアを仮想プライベートクラウド (VPC) で実行することを選択し、責任として選択したサービス、使用する AWS サービス、それらのサービスのコンピューティング環境への統合、および適用される法律と規制を慎重に検討しました。
下の図に示すように、この責任の区別は一般に、クラウド「の」セキュリティとクラウド「内の」セキュリティと呼ばれます。
AWS の責任「クラウドのセキュリティ」 – AWS は、AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャを保護する責任を負います。このインフラストラクチャは、AWS クラウド サービスを実行するハードウェア、ソフトウェア、ネットワーク、および施設で構成されます。
CrawfordTech の責任「クラウド内のセキュリティ」 – CrawfordTech の責任は、選択した AWS クラウド サービスによって決まります。これにより、CrawfordTech がセキュリティ責任の一環として実行する必要のある構成作業の量が決まります。たとえば、Amazon Elastic Compute Cloud (Amazon EC2) などのサービスは Infrastructure as a Service (IaaS) に分類されるため、CrawfordTech は必要なセキュリティ構成と管理タスクをすべて実行する必要があります。
CrawfordTech は、ゲスト オペレーティング システム (更新とセキュリティ パッチを含む)、インスタンスに CrawfordTech がインストールしたアプリケーション ソフトウェアまたはユーティリティ、および各インスタンスの AWS 提供のファイアウォール (セキュリティ グループと呼ばれる) の構成を担当します。Amazon S3 や Amazon DynamoDB などの抽象化されたサービスの場合、AWS はインフラストラクチャ層、オペレーティング システム、およびプラットフォームを運用し、CrawfordTech はエンドポイントにアクセスしてデータを保存および取得します。CrawfordTech は、データの管理 (暗号化オプションを含む)、資産の分類、および IAM ツールを使用して適切な権限を適用する責任を負います。
「AWS のおかげで、コスト効率の高い方法で情報を保存できるようになり、必要なインフラストラクチャのサポートの負担も軽減されました。AWS がその面倒を見てくれるからです。まさに、当社とお客様双方にとってメリットのあることです。」
ジェフ・キムジー、NASDAQ 製品管理担当副社長
セキュアモデル
この CrawfordTech /AWS の責任共有モデルは、IT 統制にも適用されます。IT 環境の運用責任が AWS とその顧客の間で共有されるのと同様に、IT 統制の管理、運用、検証も共有されます。AWS は、以前は個々の顧客組織によって管理されていた可能性のある、AWS 環境に展開された物理インフラストラクチャに関連する統制を管理することで、統制の運用の負担を軽減します。特定の IT 統制の管理を AWS に移行することで、(新しい) 分散制御環境が実現します。CrawfordTech は、AWS の統制とコンプライアンスのドキュメントを使用して、必要に応じて統制の評価と検証の手順を実行します。以下は、AWS、CrawfordTech、またはその両方によって管理される統制の例です。
継承されたコントロール – CrawfordTech が AWS から完全に継承するコントロール。
- 物理的および環境的制御
共有コントロール –インフラストラクチャ層と顧客層の両方に適用されるコントロールですが、コンテキストや観点はまったく異なります。共有コントロールでは、AWS がインフラストラクチャの要件を提供し、CrawfordTech が AWS サービスの使用中に独自のコントロール実装を提供します。例:
- パッチ管理 – AWS はインフラストラクチャ内のパッチ適用と欠陥の修正を担当しますが、CrawfordTech はゲスト OS とアプリケーションのパッチ適用を担当します。
- 構成管理 – AWS はインフラストラクチャデバイスの構成を管理しますが、CrawfordTech は独自のゲストオペレーティングシステム、データベース、およびアプリケーションの構成を担当します。
- 認識とトレーニング – AWS は AWS 従業員をトレーニングし、CrawfordTech は自社の従業員をトレーニングします。
CrawfordTech 固有 – AWS サービス内でデプロイしているアプリケーションに基づいて CrawfordTech が単独で責任を負うコントロール。例:
- 特定のセキュリティ環境内でデータをルーティングまたはゾーン化する必要があるサービスおよび通信保護またはゾーン セキュリティ。
- 顧客との間のデータ転送はセキュリティと暗号化によって行われます。
94%
データをクラウドに移行した後、オンライン セキュリティが大幅に改善されたと実感した企業の割合。
セールスフォース
コンプライアンス
IAMのベストプラクティスに従う
- AWS Identity and Access Management Service を使用すると、ユーザーは AWS のサービスとリソースへのアクセスを安全に管理できます。
- グループとユーザーを作成し、きめ細かな権限ポリシーを適用して API とリソースへの制限付きアクセスを提供することで、AWS を管理します。
- セキュリティに関しては「最小権限」アプローチに従ってください。
- アクセス キーとパスワードをローテーションします。
OS レベルのアクセスを管理し、EC2 インスタンスを安全に保つ
- 定期的にインスペクター評価を実行して、OS レベルの脆弱性レポートを生成します。
- System Patch Manager を使用して、OS パッケージを最新の状態に保ちます。
- 新しく発見されたバグや脆弱性からインフラストラクチャを保護するために、EC2 インスタンスに定期的にパッチを適用します。
- RedHat、Suse、Microsoft などの OS ベンダーが提供するセキュリティに関するアドバイスに従ってください。
暗号化
- 転送中も保存中もすべてのデータを暗号化します。
- AWS によって生成された保存時の暗号化キーを保存するには、AWS KMS を使用します。
- Cloud HSM を使用して、キーを保存するためのハードウェア暗号化デバイスを提供します。
- エンドツーエンドの暗号化を提供する https エンドポイントを提供することで、転送中の暗号化を提供する AWS サービスを使用します。
- AWS Certificate Manager を使用して、パブリックドメインの SSL 証明書を作成します。
AWS データベースおよびストレージサービスのセキュリティのベストプラクティスに従う
- RDS ストレージは保存時に暗号化されます。
- RDS インスタンスへのアクセスを制限して、ブルート フォース攻撃、SQL インジェクション、DoS 攻撃などの悪意のあるアクティビティのリスクを軽減します。
- S3 ストレージは保存時に暗号化されます。
- S3 ポリシーは、S3 コンテンツへのアクセスを制限するために使用されます。
- AWS Macie を使用して、AWS-S3 内の機密データを検出し、保護します。
- AWS パラメータストアを使用して環境固有の認証情報とシークレットを保存し、クラウドネイティブアプリケーションのシークレット管理を実現します。
ネットワークセキュリティ
- 侵入検知システム (IDS) または侵入防止システム (IPS) を使用して、支払いゲートウェイなどの重要なインフラストラクチャへの攻撃を検出し、防止できるようにします。
- ネットワーク トラフィックを監視するには、VPC フロー ログが有効になっていることを確認します。
- セキュリティ グループによるアクセスを制限します。(EC2、RDS、Elastic Cache など)
- Guard Duty を使用して、AWS アカウントとインフラストラクチャを継続的に監視します。
Web アプリケーション セキュリティ
- Web アプリケーション ファイアウォール (WAF) を使用して、Web トラフィックの詳細なパケット検査を提供します。
- AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させる自動セキュリティ評価サービスである Amazon Inspector を使用します。
構成管理を有効にする
- AWS Config を使用して、AWS 内の設定変更を監査、評価、および検証します。
監視と警告
- CloudTrail を使用すると、AWS アカウント内の承認済みおよび承認されていないアクティビティの監査と監視が可能になります。
- CloudWatch アラートは、AWS アカウントおよび AWS 内にデプロイされたインフラストラクチャ内の悪意のあるアクティビティとアプリケーション ログに対して設定できます。
- 請求アラームを設定して、特定のアカウントまたはインフラストラクチャのコスト使用状況をチームが把握できるようにします。
コンプライアンス、トレーニング、認証
- AWS コンプライアンスレポートにオンデマンドでアクセスするには、AWS Artifact を使用します。
- AWS クラウドプラットフォームを使用してチームをトレーニングおよび教育し、展開するか、インフラストラクチャの責任を負います。
AWS が提供するガイドラインに基づいてこれらのクラウド セキュリティのベスト プラクティスを実装することで、CrawfordTech は適切なセキュリティ対策を導入し、顧客が信頼できる「世界クラス」のサービスとともに「最高水準」のセキュリティ プラクティスを提供できるようになりました。
