Amazon Web Services ブログ
AWS 活用で実現する同盟国間の防衛機密情報と技術共有
本ブログは 2025 年 2 月 7 日に公開された Blog “Allies can share data and technologies and remain compliant with international regulations using AWS” を翻訳したものです。
国家安全保障と防衛は、国際的な同盟国間の緊密な協力に支えられています。これらの同盟国は、データや技術を含む互いの能力を活用したいと考えています。機密データを保護し、堅牢なサイバーセキュリティフレームワークを促進するために、組織は互いのコンプライアンス要件を考慮する必要があります。そのような要件の一つが、米国の国際武器取引規制 (ITAR)です。これは米国の国家安全保障を守るために、防衛および軍事関連技術の輸出を制限・管理するものです。ここでは、Amazon Web Services (AWS) 上のTrusted Secure Enclaves (TSE) が、クラウドを使用して最新かつ革新的な技術で防衛・安全保障任務を提供したい米国外の国家組織に対して、どのようにコンプライアンスを維持しながらこれを実現できるかを説明します。
ITAR はクラウド技術の真価や可能性が十分に理解される前の時代に、従来型のオンプレミス IT システムを前提として策定されました。しかし、Trusted Secure Enclaves の登場により、各国の政府機関や防衛関連組織は、ITAR 規制対象データを容易にクラウドサービスでも安全に扱えるようになりました。
2020 年 3 月、ITAR の改正により、以下のパラメータを持つ技術データを米国外に送信、持ち出し、または保存することは、輸出、再輸出、再移転、または一時的な輸入 (またはその他の管理対象イベント) に該当しないことが明確になりました。
- 機密指定されていないこと
- FIPS 140-2 準拠のアルゴリズムを使用したエンドツーエンドの暗号化で保護され、最低でも AES 128 ビットのセキュリティ強度と NIST 800-57 part 1 rev 4 の暗号化と同等の強度を持つこと
- クラウドサービスプロバイダーや第三者が復号用の暗号キーにアクセスできないこと
- データが意図的に§126.1 で規定された国の人物に送信されたり、そこに保存されたりしないこと
- データが§126.1 で規定された国から送信されないこと
これらの保護措置は、AWS の責任共有モデルの下でお客様と協力して容易に満たすことができます。責任共有モデルでは、AWS は仮想化レイヤーからサービスが運用される施設の物理的セキュリティまでのコンポーネントを管理・統制し、AWS のお客様は安全なアプリケーションの構築に責任を持ちます。AWS は、お客様がアプリケーションおよびアーキテクチャレベルのセキュリティ対策を提供する際に使用できる、幅広いベストプラクティス文書、暗号化ツール、およびその他のガイダンスを提供しています。さらに、AWS パートナーは、ネットワークセキュリティ、構成管理、アクセス制御、データ暗号化など、お客様がセキュリティ目標を達成するのに役立つ何百ものツールと機能を提供しています。
Trusted Secure Enclaves は、AWS が提供するガイダンスの一例です。TSE は、米国外でホストされる環境を含め、クラウド環境を必要とするユースケースでコンプライアンスとセキュリティ要件を満たすのを支援するために設計された、AWS が管理するオープンソースソリューションです。AWS は、グローバルな国家安全保障、防衛、法執行機関、および政府のお客様と共に TSE リファレンスアーキテクチャを設計し、クラウドのすべての利点にアクセスする際の厳格なセキュリティとコンプライアンス要件を満たすようにしました。米国国務省 (DoS) による輸出の定義の現代化と、ITAR コンプライアンスを管理するメカニズムとしての暗号化の使用に関する立場により、Trusted Secure Enclaves Sensitive Edition (TSE-SE) はこのユースケースを可能にする基礎的な構成要素となります。
AWS セキュリティリファレンスアーキテクチャに基づき、TSE は AWS 上に事前設定されたセキュリティコントロールを備えたマルチアカウント環境をデプロイします。これらは、米国国務省の ITAR データ保護ガイダンスに沿った、一元化されたアイデンティティとアクセス管理、ガバナンス、データセキュリティ、包括的なログ管理、およびネットワーク分離に対応できます。TSE は迅速なセットアップを可能にし、セキュリティ要件を満たしながらクラウドでのイノベーションをサポートします。
防衛関連企業、軍事技術提供企業、航空宇宙メーカー、および政府関連の研究機関が ITAR コンプライアンス要件を確実に満たすために、TSE 環境で技術的コントロールを実装することができます。これらには以下が含まれます。
- 暗号化 – ITAR 管理データを保護するために、AWS Key Management Service (AWS KMS) や AWS CloudHSM などのサービスを使用して、お客様が暗号化キーを制御する形で保存時に暗号化する必要があります。最新の AWS Nitro System ベースのインスタンスを使用します。これは Nitro インスタンス間のデータが AWS によって転送中に暗号化されるためです。AWS Certificate Manager (ACM) は、インターネット接続を保護するトランスポートレイヤー証明書を自動的に更新およびローテーションできます。
- データの場所 – AWS では、政府機関は選択した AWS リージョン (AWS がデータセンターをクラスター化する物理的な場所) およびアベイラビリティーゾーン (AWS リージョン内の 1 つ以上の個別のデータセンター) 内で機密ワークロードを実行し、データを保存できます。このようにして、データがどこに保存され処理されるかについて可視性を持ち、統制することができます。
- アクセスコントロール – 組織はユーザーが認証するための外部 ID プロバイダーを選択します。TSE-SE 構成にはユーザー認証サービスである AWS IAM Identity Center が統合されており、ユーザーがサービスにシームレスにアクセスできるようになります。組織はユーザー管理と認証を一元化し、シングルサインオン機能のセキュリティと利便性の恩恵を受けることができます。
- データ境界 – 強力なデータ境界の確立はコンプライアンスを達成するために不可欠です。データ境界は、信頼できる ID のみが予期されたネットワークから信頼できるリソースにアクセスすることを確実にするための予防的なガードレールのセットを作成するときに確立されます。AWS ホワイトペーパー Building a Data Perimeter on AWS はこのトピックを詳細に探求しており、TSE の既存のパターンに拡張されます。
- ログ記録とモニタリング – TSE アーキテクチャでは、ユーザーアクティビティ、ネットワークトラフィック、セキュリティイベントなどのすべてのログが、専用のログアーカイブアカウントに一元化されることが要求されます。これにより、ログが安全に保存され、改ざんされないようにし、必要に応じて徹底的な監査と調査が可能になります。
さまざまな Amazon サービス (例えば、Amazon GuardDuty、AWS Security Hub、AWS Config) を通じて、不審なアクティビティやセキュリティ問題の継続的な監視が実現されています。これらのサービスはデータソースとログを分析し、セキュリティポスチャの包括的な視点を提供します。
そのため、組織は AWS 環境全体にわたるすべてのアクティビティを完全に可視化できます。これにより、あらゆるセキュリティインシデントを迅速に検出し対応することが可能になります。
政府機関が国家安全保障や防衛任務をサポートするために AWS の最新かつ革新的な技術を利用しながら ITAR コンプライアンスを満たす必要がある場合、TSE ベースの AWS Well-Architected フレームワークによってその目標を達成できます。