ITエンジニアとしてこの先生きのこるために

Security, Identity & Compliance

作成: 2026.03.24更新: 2026.03.24

カテゴリ概要

AWS の Security, Identity & Compliance サービスは、クラウド環境における認証・認可・データ保護・脅威検知・監査を包括的に提供する。「誰が・何に・どのようにアクセスできるか」を制御する ID 管理から、通信やデータの暗号化、不正アクセスの検知、コンプライアンス状況の可視化まで、セキュリティのライフサイクル全体をカバーする。

サービス連携の全体像

セキュリティサービスは、認証からコンプライアンス監査に至るまでの各フェーズを担当する。複数のサービスを組み合わせて多層防御(Defense in Depth)を実現する。

認証                    認可                データ保護             脅威検知           監査
IAM Identity Center     IAM Policy          KMS                  GuardDuty         CloudTrail
Cognito ──→ IAM ──→ リソースアクセス ──→ 暗号化/証明書 ──→ 検知/防御 ──→ ログ/統制
                        │                   │                    │                 │
                        │                   ├─ Secrets Manager   ├─ Inspector      ├─ Security Hub
                        │                   └─ ACM               ├─ WAF            └─ 統合ダッシュボード
                        │                                        └─ Shield
                        ▼
                アプリケーション / データ

────────────────────────────────────────────────────────────────────────────────
                        Security Hub(統合ビュー・コンプライアンスチェック)
  • 認証: IAM Identity Center で組織全体のシングルサインオン、Cognito で外部ユーザーの認証・サインアップを管理する
  • 認可: IAM ポリシーでリソースへのアクセス権限を最小権限の原則に基づき制御する
  • データ保護: KMS で暗号化キーを管理し、Secrets Manager でシークレットをローテーション付きで保管し、ACM で TLS 証明書を自動発行・更新する
  • 脅威検知: GuardDuty が VPC Flow Logs / CloudTrail / DNS ログを機械学習で分析し脅威を検出する。WAF が Web アプリへの攻撃を防御し、Shield が DDoS 攻撃を緩和する。Inspector がワークロードの脆弱性をスキャンする
  • 監査: CloudTrail が全 API コールを記録し、Security Hub が複数の検知サービスの結果を集約・コンプライアンス基準への適合状況を可視化する

主要サービス

AWS IAM

AWS リソースへのアクセスを制御する認証・認可の基盤サービス。ユーザー、グループ、ロール、ポリシーを組み合わせて、誰が何をできるかを細かく定義する。すべての AWS サービスと連携するため、AWS セキュリティの最も基本的な構成要素である。

AWS IAM Identity Center(旧 AWS SSO)

複数の AWS アカウントや業務アプリケーションへのシングルサインオンを提供するサービス。AWS Organizations と統合し、組織全体のアクセスを一元管理できる。Active Directory や外部 IdP との連携にも対応している。

Amazon Cognito

Web・モバイルアプリケーション向けのユーザー認証・認可サービス。ユーザープールでサインアップ / サインイン / MFA を管理し、ID プールで認証済みユーザーに一時的な AWS 認証情報を付与する。Google、Apple、SAML などの外部 ID プロバイダとのフェデレーションに対応している。

AWS KMS

暗号化キーの作成・管理・ローテーションを行うマネージドサービス。S3、EBS、RDS をはじめとする多くの AWS サービスと統合し、データの暗号化をキー管理の負担なく実現できる。キーポリシーにより、キーの使用権限をきめ細かく制御できる。

AWS Secrets Manager

データベースの認証情報や API キーなどのシークレットを安全に保管・取得するサービス。自動ローテーション機能を備え、アプリケーションコードにシークレットをハードコードする必要がなくなる。RDS / Redshift / DocumentDB のパスワード自動ローテーションにネイティブ対応している。

AWS Certificate Manager(ACM)

SSL/TLS 証明書のプロビジョニング・管理・デプロイを行うサービス。パブリック証明書を無料で発行でき、CloudFront や ALB、API Gateway へのデプロイと自動更新を行う。証明書の有効期限管理の運用負荷を大幅に削減できる。

AWS WAF

Web アプリケーションを一般的な攻撃(SQL インジェクション、XSS、ボットなど)から保護するマネージド Web アプリケーションファイアウォール。CloudFront、ALB、API Gateway、AppSync に適用できる。AWS マネージドルールやマーケットプレイスのルールセットで迅速に防御を構築できる。

AWS Shield

DDoS(分散型サービス拒否)攻撃からの保護を提供するサービス。Shield Standard は無料で全 AWS アカウントに自動適用され、レイヤー 3/4 の攻撃を緩和する。Shield Advanced はレイヤー 7 の高度な攻撃検知、DDoS レスポンスチーム(SRT)のサポート、コスト保護を提供する。

Amazon GuardDuty

AWS 環境内の脅威を機械学習で継続的に検知するサービス。CloudTrail ログ、VPC Flow Logs、DNS クエリログ、S3 データイベントなどを自動分析し、不正な API コール、暗号通貨マイニング、侵害された認証情報の使用などを検出する。エージェント不要で有効化するだけで即座に動作する。

AWS Security Hub

AWS アカウント全体のセキュリティ状況を一元的に可視化するサービス。GuardDuty、Inspector、IAM Access Analyzer、Firewall Manager などの検出結果を集約し、CIS Benchmarks や AWS Foundational Security Best Practices などのコンプライアンス基準への適合状況を自動チェックする。

Amazon Inspector

EC2 インスタンス、コンテナイメージ、Lambda 関数を対象に脆弱性を自動スキャンするサービス。CVE データベースと照合してソフトウェアの脆弱性を検出し、ネットワークの到達可能性も評価する。ECR へのプッシュ時に自動スキャンすることで、CI/CD パイプラインにセキュリティチェックを組み込める。

AWS CloudTrail

AWS アカウント内のすべての API コールを記録・監視するサービス。誰が・いつ・どのリソースに・何をしたかを証跡として保存し、セキュリティ分析、コンプライアンス監査、トラブルシューティングの基盤となる。CloudTrail Lake を使えば SQL ベースでイベントを分析できる。

サービス選定の指針

ユースケース推奨サービス
AWS リソースへのアクセス制御IAM
組織全体のシングルサインオンIAM Identity Center
アプリユーザーの認証・サインアップCognito
データの暗号化キー管理KMS
DB 認証情報・API キーの安全な管理Secrets Manager
TLS 証明書の自動発行・更新ACM
Web アプリへの攻撃防御(SQLi / XSS 等)WAF
DDoS 攻撃対策Shield
AWS 環境の脅威検知GuardDuty
セキュリティ検出結果の集約・コンプライアンスSecurity Hub
ワークロードの脆弱性スキャンInspector
API コールの監査ログCloudTrail