tsumiki-media logo

tsumiki-media

AWSベストプラクティス2025/8/16
約12分
上級+
8/10
AWSSCSC02サービス詳細解説Systems Manager

AWS SCS-C02 対策 Systems Manager Incident Manager

AWS Systems Manager Incident Managerを使用したセキュリティインシデント対応の自動化と標準化のベストプラクティスを解説。資格取得に重要なポイントとプレイブック・ランブックの実装方法を実践的な問題を通じて理解します。

この記事のポイント

  • 1
    Incident Managerの核心機能とインシデント対応の自動化方法を理解する
  • 2
    プレイブックとランブックの違いと適切な実装方法を把握する
  • 3
    他のAWSサービスとの統合によるインシデント対応の効率化を理解する
  • 4
    重要な実装パターンを実践問題で確認する

目次

AWS Systems Manager Incident Manager とは

AWS Systems Manager Incident Managerは、インシデント対応を自動化し、標準化するためのマネージドサービスです。セキュリティイベントやシステム障害などのインシデントが発生した際に、一貫性のある迅速な対応可能にします。

このサービスを効果的に理解するには、資格試験での重要トピックを理解することが重要です。

資格試験での重要トピック

AWS Systems Manager Incident Managerに関連した資格試験で重要なトピックを解説します。

自動インシデント対応フローの仕組み

セキュリティインシデントの検出から対応までを完全自動化することで、対応時間を数秒〜数分に短縮できます。この図解は、EventBridgeを中心とした自動インシデント対応システムの全体像を示しています。

自動インシデント対応システムの全体フロー

自動インシデント対応システムの全体フロー

図の左側にあるGuardDuty、Security Hub、Config Rules脅威やコンプライアンス違反を検出すると、イベントが中央のEventBridge集約されます。EventBridgeは受信したイベントをルールエンジンで分析し、脅威タイプ(例:UnauthorizedAccess:EC2/TorClient)や違反内容ComplianceStatus: FAILED)に応じて、適切な対応フローを決定します。

イベントパターンが特定されると、Incident Manager起動し、レスポンスプラン(対応の枠組み)に基づいてランブック(自動実行スクリプト)を実行します。図の右側に示された4つの自動修復アクションが、インシデントの種類に応じて実行されます:IAM権限制限(不正アクセス時)、S3アクセスブロック(設定ミス時)、セキュリティグループ修正(ポート開放違反時)、EC2隔離(マルウェア感染時)。

並行してSNS経由でセキュリティチームへ通知が送信され、自動対応の内容と追加対応が必要な項目が共有されます。この統合システムにより、検出から修復までを数秒〜数分で完了し、すべての対応が標準化され、監査証跡も自動記録されます。

Lambda + Step Functions連携(複雑なワークフロー)

標準的なAutomationでは対応できない複雑な条件分岐や承認フローが必要な場合、Step FunctionsとLambda関数を組み合わせた高度なオーケストレーションを実装します。

Lambda + Step Functions による複雑なワークフロー

Lambda + Step Functions による複雑なワークフロー

図の上部でEventBridgeがセキュリティイベントを検出すると、Incident ManagerのランブックがStep Functionsワークフロー起動します。最初のLambda関数インシデントの詳細を評価し、次の関数で重要度(Critical/High/Medium/Low)を判定します。

Critical/High判定時は承認フローへ分岐し、SNS経由で承認者に通知が送信されます。Step Functionsは承認待ちの間ワークフローを一時停止し、承認後に処理を再開します。この仕組みで自動化の効率性と人間の判断を両立させています。

重要度に応じて図の下部にある5つの自動アクション並列実行されます:Jira/ServiceNow(チケット作成)、S3隔離(データ漏洩対策)、Slack通知(チーム共有)、EC2隔離(マルウェア対応)、IAM権限更新(不正アクセス対処)。Step Functionsの視覚的なワークフローにより、複雑な処理も容易に管理・拡張できます。

マルチアカウント対応(組織全体での実装)

複数のAWSアカウントで発生するセキュリティインシデントを、中央のセキュリティアカウントから一元管理し、組織全体で一貫した対応を実現するアーキテクチャです。

マルチアカウント環境でのインシデント対応

マルチアカウント環境でのインシデント対応

図の下部のメンバーアカウント(Account A/B)では、GuardDuty、Config、Security Hubが独立してセキュリティ監視を実行します。検出されたイベントはEventBridgeのクロスアカウント機能中央のセキュリティアカウントに転送され、アカウントID、イベントタイプ、重要度で分類されます。

セキュリティアカウントの中央Incident Managerレスポンスプランを起動し、本番/開発環境に応じた優先度で対応を決定します。修復時はAssumeRole各メンバーアカウントのExecution Role引き受け、最小権限でS3ブロック、IAM制限、EC2隔離などを実行します。

Organizations、StackSets、CloudTrail基盤を支え、新規アカウント追加時も自動的にセキュリティ体制に組み込まれます。StackSetsで全アカウントに一貫した設定をデプロイし、CloudTrailで全API呼び出しを記録。この仕組みにより、単一コンソールから組織全体を管理し、標準化された対応と監査証跡を実現します。

実践問題で確認

ここまで学んだ4つの核心パターンを、実践的な問題で確認しましょう。各問題は実際の企業シナリオに基づいており、パターンの適用能力を評価します。

AWS認定セキュリティ - 専門知識

練習問題

ある企業のセキュリティチームは、AWSインフラストラクチャに対するランサムウェア攻撃の可能性を検出しました。この企業はAmazon GuardDuty、AWS Security Hub、Amazon EventBridge、AWS Systems Manager Incident Managerを使用しています。セキュリティチームは、将来同様のセキュリティインシデントが発生した場合に備えて、迅速かつ一貫した対応手順を確立する必要があります。 この企業がセキュリティインシデント対応を効率化するためのプレイブックとランブックを適切に実装する方法はどれですか?

AWS認定セキュリティ - 専門知識

練習問題

大手小売企業がAWSクラウド環境でのセキュリティインシデント対応プレイブックを作成しています。彼らは異常な権限昇格や認証情報漏洩などのセキュリティイベントを検出した際に、標準化された対応プロセスを自動化したいと考えています。この企業は複数のAWSアカウントとサービスを利用しており、対応チームが一貫した方法でインシデントに対応できるようにする必要があります。 この要件を満たすために、セキュリティインシデント対応プレイブックとランブックを実装する最も効果的な方法はどれですか?(2つ選択してください)

AWS認定セキュリティ - 専門知識

練習問題

ある金融サービス企業は、AWSクラウド環境でのセキュリティインシデント対応プロセスを改善しようとしています。最近、S3バケットの設定ミスによるデータ漏洩が発生し、対応が遅れたことで影響が拡大しました。企業のセキュリティチームは、将来同様のインシデントが発生した場合に迅速かつ効果的に対応できるよう、詳細なガイダンスを提供するドキュメントを準備したいと考えています。 セキュリティインシデント対応を改善するために、この企業はどのような対策を実装するべきですか?(2つ選択してください)

まとめ

AWS Systems Manager Incident Managerは、インシデント対応の自動化と標準化実現する強力なサービスです。3つの核心パターンを理解することで、様々なシナリオに対応できます。

セキュリティ検出サービス(GuardDuty、Security Hub、Config)からEventBridgeを経由した自動トリガーにより、Incident Managerが標準化された対応を実行。ランブックによる自動修復アクション(IAM制限、S3ブロック、SG修正、EC2隔離)を実装し、迅速で一貫した対応を実現します。

複雑なワークフローや承認フローが必要な場合に活用。標準のAutomationドキュメントでは対応できない高度な処理や、複数のサービスを組み合わせた複雑な修復処理を実装できます。Step Functionsによる視覚的なワークフロー管理と、Lambdaによる柔軟な処理ロジックが特徴です。

AWS Organizations環境での組織全体にわたる一貫したインシデント対応を実現。クロスアカウントでの適切な権限設計(IAMロール、リソースベースポリシー)が鍵となり、セキュリティを維持しながら効率的な対応を可能にします。

これらのパターンを組み合わせることで、包括的なインシデント対応システムを構築できます。

理解度チェック

GuardDuty/Security Hub/ConfigからEventBridge経由でIncident Managerが起動し、4つの自動修復(IAM制限、S3ブロック、SG修正、EC2隔離)が実行される流れを説明できるか?

Step Functionsでの重要度判定(Critical/High/Medium/Low)による分岐処理と、承認フロー、5つの並列アクション実行の仕組みを説明できるか?

メンバーアカウントからセキュリティアカウントへのイベント集約、AssumeRoleによるクロスアカウント実行、Organizations/StackSetsの役割を説明できるか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する