要件6：安全性の高いシステムとアプリケーションを開発し、保守する

本要件では、セキュリティ脆弱性の特定・ランク割当て・パッチ適用、セキュアな開発・テスト・変更管理、Webアプリケーションの保護など、システム開発や保守を行う上での様々な対策が求められます。AWSでは各対策を支援する様々なサービスが提供されていますが、これらのサービス、あるいは個別導入した製品を活用し、セキュアなプロセスを構築、運用していくのは利用者の責任です。

【AWSから提供されるサービスの例】

• ●セキュリティ脆弱性の特定・ランク割当て・パッチ適用
  使用しているソフトウェアの脆弱性を識別およびランク分けした上で、適切な期間内にパッチを適用して脆弱性に対処するプロセスの確立が必要です。インスタンスのセキュリティ評価サービスであるAmazon Inspectorを使用することでオペレーティングシステムなど特定の脆弱性の識別が可能です。またAWS Systems Manager Patch Managerを活用することでパッチ適用の自動化プロセスの確立が可能です。
• ●セキュアな開発・テスト・変更管理
  OWASP Top10（The Open Web Application Security Projectが発行するWebアプリケーションにおける重大脅威に関するガイダンス）など業界のベストプラクティスにもとづいてセキュアにソフトウェアの開発およびテストを実施、本番環境にリリースするプロセスの確立が必要です。AWS Code Pipelineなどリリースプロセスのモデル化および自動化が可能なサービスを活用し、Amazon Inspectorによるセキュリティ評価作業などのチェック工程をリリースプロセスに組み込むことが可能です。
• ●Webアプリケーション保護
  Webベースの攻撃に継続的に対処するため、Webアプリケーションファイアウォール（WAF）の導入などにより既知の攻撃から保護することが求められます。AWSプラットフォームではAWS WAFというWAFサービスが用意されています。OWASP Top10などに挙げられている重大な脆弱性を検知することが可能なマネージドルールの選択が必要です。