設計 → 構築 → 運用 → 監査 → 保守 → 引き継ぎ
📘 1. インフラ構成図(Network / App / Security)
フォーマット(推奨)
- PDF+PNG(図のみ)
- draw.io または Lucidchart
図の種類(全4種類)
- 全体アーキテクチャ図(AWS Official Icons)
- セキュリティレイヤー図(WAF, Shield, GuardDuty, Macie, Inspector など)
- ログ・監査フロー構成図(CloudTrail → S3 → Athena → SecurityHub)
- サービス間シーケンス図(Cognito認証、PDFダウンロード等)
📙 2. インフラ構築仕様書(本番用) ← 最重要ドキュメント
フォーマット
- Word(docx) または Confluence
- 目次付き
記載すべき項目
1. 構築の目的 / システム概要
2. アーキテクチャ構成
3. 使用AWSサービス一覧(理由含む)
4. 各サービスの構成詳細
- VPC, Subnet, Route Table, IGW, NAT
- ALB, CloudFront, WAF
- Cognito 認証・MFA
- Lambda / ECS / API Gateway
- S3 / KMS / DynamoDB / RDS
- SQS / SNS
- CloudWatch / Logs / Alarms
- Shield, GuardDuty, SecurityHub, Inspector, Macie
- CloudTrail(ログ保持ルール含む)
- Systems Manager(パッチ・自動化)
5. セキュリティポリシー
6. IAM 設計(ロール・ポリシー)
7. ネットワーク設計
8. ログ&監査設計(CloudTrail / VPC Flow Logs / Firehose)
9. バックアップ・DR設計
10. 監査対応(証跡の残り方)
11. 運用設計(アラート・通知)
12. 構築手順(CLI / Terraform / Console)
13. 構築後のテスト仕様書
📗 3. パラメータシート(構成パラメータ一覧)
フォーマット
- Excel (xlsx)
- シート分割:ネットワーク / セキュリティ / アプリ / ログ / IAM / バックアップ
記載例(抜粋)
| 項目 | 値 | 説明 |
|---|---|---|
| VPC CIDR | 10.0.0.0/16 | 本番VPC |
| Subnet AZ1 Public | 10.0.1.0/24 | Web用 |
| S3 Bucket(audit) | company-audit-logs | 監査専用(書込み専用) |
| KMS Key(Payroll) | arn:aws:kms:… | 給与データ用CMK |
| CloudTrail Retention | 7 years | 監査要件 |
これが正しく整理されていると AWS 構築ミスがほぼゼロになります。
📘 4. IAM 設計書(ロール・権限)
フォーマット
- Excel または Word
必須項目
・role_hr_admin
・role_employee
・role_sysadmin
・role_auditor
・Lambda execution role
・S3 access role
・CloudWatch role
・KMS Key Policy
▶ ポリシーは JSON そのものを資料内に貼り付けるのがベスト。
📕 5. ログ & 監査設計書(フルセット)
設計対象に含むべきログ
- CloudTrail(Management Events / Data Events)
- CloudWatch Logs(アプリ / Lambda / ECS)
- WAF Logs(Kinesis Firehose)
- VPC Flow Logs
- ALB Access Logs
- CloudFront Access Logs
- Cognito Auth Challenge Logs
- S3 Access Logs
- DynamoDB Streams
- RDS Audit Logs
- Shield Advanced Logs
- GuardDuty Findings
- Inspector Scan Logs
- Macie Findings
- SecurityHub Findings
- SNS 通知ログ
- SQS 失敗(DLQ Logs)
- Systems Manager Automation Logs
フォーマット
- Word / Confluence
内容例
1. 収集するログ一覧
2. 収集方法
3. 保管S3構造
4. 暗号化(KMS)
5. Athenaで検索するクエリ例
6. 保持期間
7. 誰が参照可能か(監査ロール)
📘 6. 監査証跡マップ(CloudTrail中心)
監査チームが「誰が何をしたか」を追える資料。
内容
- CloudTrail イベント一覧
- 主要イベントの検索SQL(Athena)
- ログの保存場所
- 監査時の調査手順
企業のISMS監査で100%求められます。
📗 7. アラート & 通知設計書
SNS / CloudWatch / SecurityHub を中心にまとめます。
フォーマット
- Excel(一覧性が高い)
内容
| No | 種類 | Trigger | Severity | 通知先 | 備考 |
|---|---|---|---|---|---|
| 1 | GuardDuty | UnauthorizedAccess:IAMUser | High | Security Team(SNS) | 15分評価 |
| 2 | WAF | SQL Injection 多発 | Medium | SOC | Firehose→S3にログ送付 |
📙 8. 構築手順書(Terraform / CloudFormation / マニュアル構築)
フォーマット
- Markdown or Confluence
内容例
Step1: IAM 設計反映
Step2: VPC 作成
Step3: ALB / WAF セットアップ
Step4: Cognito UserPool
Step5: Lambda / API Gateway
Step6: CloudTrail / GuardDuty / SecurityHub
Step7: KMS 設定
Step8: S3 監査バケット作成
Step9: CloudWatch Alarms 作成
📕 9. 運用マニュアル(本番運用の実作業)
フォーマット
- Word または PDF
内容
- 障害対応手順
- Lambda/PDF の期限切れなどの運用ルール
- 監査ログの定期チェック方法
- GuardDuty Findings の triage 手順
📘 10. DR / 障害復旧設計書
必須
- RDS スナップショット
- S3 バージョニング
- CloudTrail Multi-account Storage
- クロスリージョンレプリケーション
📗 11. テスト仕様書(本番検証)
内容例
- Cognito MFA テスト
- S3 presigned URL 有効性確認
- 給与PDFの KMS 復号チェック
- 監査ログが CloudTrail に出力されているか
- WAF ブロックテスト
- GuardDuty のサンプル検知(AWS公式)
🎯 まとめ:どのような形式が“わかりやすい”資料か?
■ 結論:この形がベスト
● 図は PDF / PNG
(全員が同じように見える)
● パラメータは Excel
(他者が修正しやすい、再利用性が高い)
● テキスト記述は Word or Confluence
(検索しやすく、監査時に提出できる)
● ポリシーやコードは Markdown
(Gitでバージョン管理可能)
● 設計 → パラメータ → 手順 → ログ → 監査で一気通貫
(後任でも構築できる資料体系)
コメント