# セキュリティインシデントアラートの合理化
このドキュメントは、情報提供のみを目的として提供されています。 本書は、このドキュメントの発行日時点におけるAmazon ウェブサービス (AWS) の現在の製品提供および慣行を表しており、これらは予告なしに変更される場合があります。 お客様は、本書に記載されている情報、および AWS 製品またはサービスの使用について、独自の評価を行う責任を負うものとします。各製品またはサービスは、明示または黙示を問わず、いかなる種類の保証もなく「現状のまま」提供されます。 このドキュメントは、AWS、その関連会社、サプライヤー、またはライセンサーからの保証、表明、契約上の約束、条件、または保証を作成するものではありません。 お客様に対する AWS の責任と責任は、AWS 契約によって管理され、このドキュメントは AWS とお客様との間のいかなる契約の一部でもなく、変更もありません。

© 2021 Amazon ウェブサービス株式会社またはその関連会社。 すべての権利予約。 この作品はクリエイティブ・コモンズ表示 4.0 国際ライセンスの下に提供されています。

この AWS コンテンツは、http://aws.amazon.com/agreement で提供される AWS カスタマーアグリーメントの条件、またはお客様とアマゾンウェブサービス株式会社、Amazon ウェブサービス EMEA SARL、またはその両方との間のその他の書面による契約に従って提供されます。

>「ペーパークリップとダイヤモンドを同等の活力で守れば、すぐにペーパークリップが増え、ダイヤモンドも少なくなるだろう」と元米国国務長官のディーン・ラスクに帰属

アラートは、セキュリティコントロールの開発中のワークロードの脅威モデリングによって決定されます。 アラートの使用はレスポンシブコントロールによって定義されますが、その定義は、ディレクティブ、予防、ディテクティブ、レスポンシブなど、セキュリティの観点全体に依存します。

## 定義

### 脅威モデリング:

* **ワークロード**: 何を守ろうとしているのか
* **脅威**: おまえが恐れていること
* **影響**: 脅威がワークロードを満たしたときにビジネスにどのような影響が及ぶか
* **脆弱性**: 脅威を促進できるのは何ですか
* **緩和**: 脆弱性を補うためにどのような管理が行われていますか
* **確率**: 緩和策を導入して脅威が発生する可能性はどれくらいですか

**脅威の優先順位付けは、影響と確率の要因です。 **

### セキュリティコントロール:

* **指令**コントロールは、環境が運用するガバナンス、リスク、コンプライアンスモデルを確立します。
* **予防**コントロールはワークロードを保護し、脅威と脆弱性を軽減します。
* **Detective** コントロールは、AWS でのデプロイの運用に関する完全な可視性と透明性を提供します。
* **Responsive**コントロールは、セキュリティベースラインからの潜在的な逸脱の修復を促進します。


! [画像] (/images/image-caf-sec.png)

## アラートの疲労を最小限に抑え、セキュリティイベントの処理を改善するには、脅威モデリングコンテキストで次の点を考慮する必要があります。

* ビジネスに対するワークロードの関連性 (*)。
* 各ワークロードコンポーネントのデータ分類 (*)。
* STRIDE（なりすまし、改ざん、情報開示、否認、サービス拒否、特権の昇格）など一貫して使用される方法論
* クラウドセキュリティの準備と成熟度。
* インシデント対応と脅威ハンティング能力。
* 自動修復機能。
* インシデントハンドリングの自動化成熟度。


(*) ***ワークロードの関連性とデータ分類***は、企業のリスクフレームワークイニシアチブによって定義されています。 例:

### ワークロードの関連性:

**高い**：大きな金銭的損失とイメージ認識の損傷、長期的なビジネスへの影響、低い回復の成功
**中**：持続可能な金銭的損失とイメージ認識損害、短期的なビジネスインパクト、高い回復成功
**低い**：測定可能な金銭的損失や画像認識損害、ビジネスへの影響なし、回復は適用されない

### データ分類:

**秘密**：大きな金銭的損失と画像認識損傷、長期的なビジネスインパクト、低い回復成功
**機密**：持続可能な金銭的損失とイメージ認識損害、短期的なビジネスインパクト、高い回復成功
**未分類**：測定可能な金銭的損失や画像認識損害、ビジネスへの影響なし、回復は適用されない


## アラートの優先順位付けの目的は、それらを適切なキューに送信することです。

* アラートトリアージキュー
* 脅威ハンティングキュー
* アーカイブキュー


アラートの終了場所を定義するプロセスは、以前に列挙したすべての要素によって異なります。 基本的なキューイングの決定は次のとおりです。

### アラートトリアージキュー:

1. 業界規制、法定コンプライアンス、ビジネス要件を含むがこれらに限定されない、特定のリスクフレームワークのマンデート。 このシナリオでは、ワークロードの関連性が**高い**か、データは**秘密**に分類されます。
2. 正式なインシデント対応プロセスを開始するための特定の脅威モデル要件。
3. ワークロードが**中**または**高** の関連性またはデータ分類が**秘密**または**機密**であるアラートで、自動修復が失敗しました。

### **脅威ハンティングキュー**:

1. **中**または**高**関連性またはデータ分類が**秘密**または**機密**であるワークロードの自動修復が成功しました。
2. 関連性が低い**、またはデータ分類が**未分類**のワークロードの自動修復に失敗しました。

### アーカイブキュー:

1. 関連性が低い**、またはデータ分類が**未分類**のワークロードで自動修復が成功しました。