予防的統制内容説明(AWS編)

2023/03/06 公開

本書はガバメントクラウド(AWS)における予防的統制の実装方式および活用方法を理解するための文書である。

予防的統制の全体像

予防的統制とは潜在的なリスクを予見して統制をかけ、不適切な操作や設定を事前に防止する機能である。
ガバメントクラウド(AWS)では、Organizations、SCP、Control Towerを使用し、予防的統制を実現している。

図001　予防的統制の全体像

統制内容

予防的統制に抵触する操作、設定が行われた場合、予防的統制を構成するサービスはそれを検知し、その拒否とエラーメッセージの表示を行う。本項ではサービスごとの統制内容を記述する。

SCP 統制内容

ガバメントクラウド(AWS)では、SCPのポリシーを使用し、ポリシー違反につながるアクションを禁止している。
適用されているポリシーについては以下を参照。尚、適用されるポリシーは、管理組織側で対応の必要があると判断した場合、増減する可能性がある。
詳細な設定内容は、実際の自動適用テンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）の内容を確認すること。

No	ポリシー種別	適用環境	内容
1	カスタムポリシー	検証環境	AWS CloudShellの利用(※)、管理者権限ユーザー以外のIAMユーザー作成、管理側から配布したIAMロールの変更と削除禁止。アクセスキーの作成と更新は不可
2	カスタムポリシー	本番環境	AWS CloudShellの利用(※)、管理者権限ユーザー以外のIAMユーザー作成、管理側から配布したIAMロールの変更と削除禁止。アクセスキーの作成と更新は不可。
3	カスタムポリシー	検証環境、本番環境	原則として東京/大阪リージョン以外は使用不可。一部サービスのみ、管理者権限ユーザーかCDK関連ロールのみバージニア北部でも利用可能。

※ AWS CloudShellに関してはAWS CloudShell VPC environmentのみ利用可能

[AWSドキュメント：サービスコントロールポリシー (SCPs)]　　(https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.htmlOpens in new tab)

Control Tower 統制内容

ガバメントクラウド(AWS)では、Control Tower の機能である予防コントロールを使用し、ポリシー違反につながるアクションを禁止している。

予防コントロールはガイダンスが「必須」と以下の「強く推奨」であるものが有効化されている。コントロールについては以下を参照。

-「Disallow Creation of Access Keys for the Root User (ルートユーザーのアクセスキーの作成を許可しない)」

[AWSドキュメント：AWS Control Tower のコントロールについて]　　(https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/controls.htmlOpens in new tab)

有効化されるコントロールは、ランディングゾーンのバージョンアップに伴い増減する可能性がある。バージョンアップは影響範囲を確認し、破壊的変更がなければ事前に利用システム側へ周知後、実施する。破壊的変更がある場合は、影響範囲と対策を周知後に実施する。
また、アップデートは検証環境アカウント/本番環境アカウントと段階的に実施する。

改訂履歴

改訂年月日	改訂理由
2023年03月06日	新規作成
2023年09月22日	誤字修正
2023年12月04日	「ガードレール」から「コントロール」に名称変更に伴う修正
	「Control Tower 統制内容」内容修正
	誤記修正
2024年03月01日	「SCP 統制内容」の内容修正
2024年05月10日	文言修正
2024年07月19日	文言修正
2024年09月02日	文言修正
2025年02月14日	「SCP 統制内容」の内容修正