セキュアエンクレーブを使用して、機密性の高いワークロードを保護および分離する
このガイダンスは、国家安全保障、防衛、国の法執行機関における機密性の高いワークロードのための包括的なクラウドアーキテクチャを構築する方法を示します。AWS でマルチアカウントアーキテクチャを使用することで、機密データとワークロードを安全に保ちながらミッションを遂行できます。このガイダンスは、厳格で独自のセキュリティとコンプライアンスの要件を満たすのに役立つように設計されており、さまざまな米国のセキュリティフレームワークに沿った、中心的な ID およびアクセス管理、ガバナンス、データセキュリティ、包括的なログ記録、ならびにネットワーク設計とセグメント化に対応します。
注意: [免責事項]
アーキテクチャ図
-
概要
-
組織管理アカウント
-
セキュリティアカウント
-
インフラストラクチャアカウント
-
アプリケーション、コミュニティ、チーム、またはグループアカウント (機密)
-
概要
-
このアーキテクチャ図は、独自のセキュリティとコンプライアンス要件を満たす必要がある包括的なマルチアカウントワークロードを設定する方法の概要を示しています。このガイダンスをデプロイする方法の詳細については、他のタブを開いてください。
拡大イメージを見る
ステップ 1
サービスコントロールポリシー (SCP) によってガイドされる、AWS Organizations 内の複数のアカウントを持つ組織。組織は、単一のお客様エンティティによって管理される複数の個別の AWS アカウントをグループ化します。個別の AWS アカウントは、AWS の異なるお客様によって所有されているかのように、ワークロードまたは環境間の強力なコントロールプレーンとデータプレーンの分離を提供します。ステップ 2
管理アカウントは、組織を作成するために使用されます。組織の管理アカウントから、次を実行できます:- 組織内にアカウントを作成し、すべての組織単位 (OU) のポリシーを管理する。
- 次の OU を組織に参加させる:
- セキュリティ OU
- インフラストラクチャ OU
- 機密アプリケーション OU
各 OU には、設計ごとに 1 個以上のメンバーアカウントまたはネストされた OU があります。
ステップ 3
アプリケーション OU には、アプリケーションの配信とライフサイクル管理専用のネストされた OU が複数あり、次が含まれます:- 開発 OU
- テスト OU
- 本番 OU
- 共有 OU
さらに、サンドボックス OU を機密ではないワークロードとしてプロビジョニングすることもできます。
ステップ 1
サービスコントロールポリシー (SCP) によってガイドされる、AWS Organizations 内の複数のアカウントを持つ組織。組織は、単一のお客様エンティティによって管理される複数の個別の AWS アカウントをグループ化します。個別の AWS アカウントは、AWS の異なるお客様によって所有されているかのように、ワークロードまたは環境間の強力なコントロールプレーンとデータプレーンの分離を提供します。ステップ 2
管理アカウントは、組織を作成するために使用されます。組織の管理アカウントから、次を実行できます:- 組織内にアカウントを作成し、すべての組織単位 (OU) のポリシーを管理する。
- 次の OU を組織に参加させる:
- セキュリティ OU
- インフラストラクチャ OU
- 機密アプリケーション OU
各 OU には、設計ごとに 1 個以上のメンバーアカウントまたはネストされた OU があります。
ステップ 3
アプリケーション OU には、アプリケーションの配信とライフサイクル管理専用のネストされた OU が複数あり、次が含まれます:- 開発 OU
- テスト OU
- 本番 OU
- 共有 OU
さらに、サンドボックス OU を機密ではないワークロードとしてプロビジョニングすることもできます。
-
組織管理アカウント
-
このアーキテクチャ図は、組織が複数のアカウントをグループ化する方法を示しています。すべてのアカウントは、単一のお客様エンティティによって管理されます。 このアーキテクチャ図のステップに従って、このガイダンスの組織管理アカウント部分をデプロイします。
拡大イメージを見る
ステップ 1
複数のアカウントを持つ組織: 組織は、単一のお客様エンティティによって管理される複数の個別の AWS アカウントをグループ化します。これにより、請求が統合されるとともに、OU を使用してアカウントがグループ化され、SCP を使用した組織の予防的コントロールのデプロイが容易になります。ステップ 2
予防的セキュリティコントロール: SCP によって実装されるこれらのコントロールは、アーキテクチャを保護し、ガードレールの無効化を防ぎ、望ましくないユーザーの動作をブロックします。SCP は、AWS アカウント、OU、または組織レベルで API オペレーションの特定のカテゴリまたはカテゴリ全体を拒否するために主に使用されるガードレールメカニズムを提供します。これらを使用して、ワークロードが規定の AWS リージョンにのみデプロイされるようにしたり、特定の AWS サービスへのアクセスを拒否したりできます。
ステップ 3
オートメーション: オートメーションにより、新しいチームやワークロードがオンボーディングされるのに伴って、組織が新しい AWS アカウントを追加する際に、ガードレールが一貫して適用されるようになります。コンプライアンスドリフトを是正し、ルート組織アカウントにガードレールを提供します。
ステップ 4
暗号化: AWS Key Management Service (AWS KMS) とカスタマーマネージドキーは、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Elastic Block Store (Amazon EBS) ボリューム、Amazon Relational Database Service (Amazon RDS) データベース、または他の AWS ストレージサービスに保存されているデータを、FIPS 140-2 検証済みの暗号化を使用して暗号化します。TLS 1.2 以降を使用して転送中のデータを保護します。ステップ 5
シングルサインオン: AWS Identity and Access Management (IAM) の機能である IAM アイデンティティセンターは、承認されたプリンシパルのために組織全体の AWS アカウントへの一元的な IAM ロールの引き受けを提供するために使用されます。組織の既存の ID は、お客様の既存の Active Directory (AD) ID ストアまたは別のサードパーティー ID プロバイダー (IdP) から取得できます。AWS は、認証アプリケーション、セキュリティキー、組み込み認証子を使用して多要素認証の強制を容易にし、WebAuthn、FIDO2、Universal 2nd Factor (U2F) 認証およびデバイスをサポートします。
ステップ 1
複数のアカウントを持つ組織: 組織は、単一のお客様エンティティによって管理される複数の個別の AWS アカウントをグループ化します。これにより、請求が統合されるとともに、OU を使用してアカウントがグループ化され、SCP を使用した組織の予防的コントロールのデプロイが容易になります。ステップ 2
予防的セキュリティコントロール: SCP によって実装されるこれらのコントロールは、アーキテクチャを保護し、ガードレールの無効化を防ぎ、望ましくないユーザーの動作をブロックします。SCP は、AWS アカウント、OU、または組織レベルで API オペレーションの特定のカテゴリまたはカテゴリ全体を拒否するために主に使用されるガードレールメカニズムを提供します。これらを使用して、ワークロードが規定の AWS リージョンにのみデプロイされるようにしたり、特定の AWS サービスへのアクセスを拒否したりできます。
ステップ 3
オートメーション: オートメーションにより、新しいチームやワークロードがオンボーディングされるのに伴って、組織が新しい AWS アカウントを追加する際に、ガードレールが一貫して適用されるようになります。コンプライアンスドリフトを是正し、ルート組織アカウントにガードレールを提供します。
ステップ 4
暗号化: AWS Key Management Service (AWS KMS) とカスタマーマネージドキーは、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Elastic Block Store (Amazon EBS) ボリューム、Amazon Relational Database Service (Amazon RDS) データベース、または他の AWS ストレージサービスに保存されているデータを、FIPS 140-2 検証済みの暗号化を使用して暗号化します。TLS 1.2 以降を使用して転送中のデータを保護します。ステップ 5
シングルサインオン: AWS Identity and Access Management (IAM) の機能である IAM アイデンティティセンターは、承認されたプリンシパルのために組織全体の AWS アカウントへの一元的な IAM ロールの引き受けを提供するために使用されます。組織の既存の ID は、お客様の既存の Active Directory (AD) ID ストアまたは別のサードパーティー ID プロバイダー (IdP) から取得できます。AWS は、認証アプリケーション、セキュリティキー、組み込み認証子を使用して多要素認証の強制を容易にし、WebAuthn、FIDO2、Universal 2nd Factor (U2F) 認証およびデバイスをサポートします。
-
セキュリティアカウント
-
このアーキテクチャ図は、AWS のサービスとアカウント全体で包括的なログ収集を一元的に設定する方法を示しています。 このアーキテクチャ図のステップに従って、このガイダンスのセキュリティアカウントの部分をデプロイします。
拡大イメージを見る
ステップ 1
一元的なログ記録: このアーキテクチャは、AWS のサービスとアカウント全体で包括的なログ収集と一元化を規定しています。AWS CloudTrail ログは組織全体で機能し、クラウド環境全体で完全なコントロールプレーン監査機能を提供します。Amazon CloudWatch ログはクラウドネイティブの AWS ログ記録サービスであり、オペレーティングシステムとアプリケーションのログ、VPC フローログ、ドメインネームシステムのログなど、さまざまなログをキャプチャするために使用されます。その後、これらのログは一元化され、定義されたセキュリティ担当者のみが利用できます。
ステップ 2
一元化されたセキュリティモニタリング: さまざまな種類の検出セキュリティコントロールの自動デプロイを通じて、お客様の AWS 組織全体でのコンプライアンスドリフトとセキュリティ脅威が明らかになります。これには、組織内のすべてのアカウントで多数の AWS セキュリティサービスをアクティブ化することが含まれます。これらのセキュリティサービスには、Amazon GuardDuty、AWS Security Hub、AWS Config、AWS Firewall Manager、Amazon Macie、IAM Access Analyzer、CloudWatch アラームが含まれます。組織全体のセキュリティに関するすべての検出結果とコンプライアンスドリフトを簡単に把握できるようにするには、マルチアカウント環境全体のコントロールと可視性を単一の中心的なセキュリティツールアカウントに委任する必要があります。
ステップ 3
表示専用アクセスと検索可能性: インシデント発生時の調査を容易にするために、セキュリティアカウントには、組織全体の表示専用アクセス (各アカウントの CloudWatch コンソールへのアクセスを含む) が提供されます。表示専用アクセスは、データへのアクセスを一切提供しないという点で読み取り専用アクセスとは異なります。オプションのアドオンを使用すると、一連の包括的な一元化されたログを使用して検索可能にし、相関関係と基本的なダッシュボードを提供できます。
ステップ 1
一元的なログ記録: このアーキテクチャは、AWS のサービスとアカウント全体で包括的なログ収集と一元化を規定しています。AWS CloudTrail ログは組織全体で機能し、クラウド環境全体で完全なコントロールプレーン監査機能を提供します。Amazon CloudWatch ログはクラウドネイティブの AWS ログ記録サービスであり、オペレーティングシステムとアプリケーションのログ、VPC フローログ、ドメインネームシステムのログなど、さまざまなログをキャプチャするために使用されます。その後、これらのログは一元化され、定義されたセキュリティ担当者のみが利用できます。
ステップ 2
一元化されたセキュリティモニタリング: さまざまな種類の検出セキュリティコントロールの自動デプロイを通じて、お客様の AWS 組織全体でのコンプライアンスドリフトとセキュリティ脅威が明らかになります。これには、組織内のすべてのアカウントで多数の AWS セキュリティサービスをアクティブ化することが含まれます。これらのセキュリティサービスには、Amazon GuardDuty、AWS Security Hub、AWS Config、AWS Firewall Manager、Amazon Macie、IAM Access Analyzer、CloudWatch アラームが含まれます。組織全体のセキュリティに関するすべての検出結果とコンプライアンスドリフトを簡単に把握できるようにするには、マルチアカウント環境全体のコントロールと可視性を単一の中心的なセキュリティツールアカウントに委任する必要があります。
ステップ 3
表示専用アクセスと検索可能性: インシデント発生時の調査を容易にするために、セキュリティアカウントには、組織全体の表示専用アクセス (各アカウントの CloudWatch コンソールへのアクセスを含む) が提供されます。
表示専用アクセスは、データへのアクセスを一切提供しないという点で読み取り専用アクセスとは異なります。オプションのアドオンを使用すると、一連の包括的な一元化されたログを使用して検索可能にし、相関関係と基本的なダッシュボードを提供できます。
-
インフラストラクチャアカウント
-
このアーキテクチャ図は、仮想プライベートクラウド (VPC) を使用して一元化され、分離されたネットワーク環境を構築する方法を示しています。 このアーキテクチャ図のステップに従って、このガイダンスのインフラストラクチャアカウント部分をデプロイします。
拡大イメージを見る
ステップ 1
一元化され、分離されたネットワーク: Amazon Virtual Private Cloud (Amazon VPC) を通じて構築された VPC は、共有ネットワークアカウントで一元化された、ワークロード間のデータプレーン分離を作成するために使用されます。一元化により、強力な職務の分離とコスト最適化が促進されます。ステップ 2
仲介された接続: オンプレミス環境、インターネットエグレス、共有リソース、AWS API への接続は、AWS Transit Gateway、AWS Site-to-Site VPN、次世代ファイアウォール、および AWS Direct Connect (該当する場合) の利用を通じて、イングレスおよびエグレスの中心的なポイントで仲介されます。ステップ 3
代替オプション: 一元化された VPC アーキテクチャは、すべてのお客様に適しているわけではありません。コスト最適化をあまり気にしないお客様のために、中心的な共有ネットワークアカウントで Transit Gateway を通じて相互接続されたローカルアカウントベースの VPC のオプションがあります。
どちらのオプションでも、アーキテクチャでは、コスト効率を高めるために一元的なエンドポイントを使用して、AWS パブリック API エンドポイントをお客様のプライベート VPC アドレス空間に移行することを規定しています。
ステップ 4
イングレスおよびエグレス Infrastructure as a Service (IaaS) の一元的な検査: IaaS ベースのワークロードでは、イングレスおよびエグレスの一元的な要件がよく見られます。アーキテクチャはこの機能を提供するため、お客様は、AWS のイングレスおよびエグレスファイアウォール検査に関するネイティブサービス (AWS Network Firewall、AWS WAF、Elastic Load Balancing (ELB) を通じた Application Load Balancer など) が要件を満たしているかどうかを判断できます。満たしていない場合、お客様はサードパーティーのファイアウォールアプライアンスを使用してこれらの機能を拡張できます。アーキテクチャは、AWS ファイアウォールから始めてサードパーティーのファイアウォールに切り替えることや、イングレスおよびエグレスファイアウォールテクノロジーを組み合わせて使用することをサポートしています。
ステップ 1
一元化され、分離されたネットワーク: Amazon Virtual Private Cloud (Amazon VPC) を通じて構築された VPC は、共有ネットワークアカウントで一元化された、ワークロード間のデータプレーン分離を作成するために使用されます。一元化により、強力な職務の分離とコスト最適化が促進されます。ステップ 2
仲介された接続: オンプレミス環境、インターネットエグレス、共有リソース、AWS API への接続は、AWS Transit Gateway、AWS Site-to-Site VPN、次世代ファイアウォール、および AWS Direct Connect (該当する場合) の利用を通じて、イングレスおよびエグレスの中心的なポイントで仲介されます。ステップ 3
代替オプション: 一元化された VPC アーキテクチャは、すべてのお客様に適しているわけではありません。コスト最適化をあまり気にしないお客様のために、中心的な共有ネットワークアカウントで Transit Gateway を通じて相互接続されたローカルアカウントベースの VPC のオプションがあります。
どちらのオプションでも、アーキテクチャでは、コスト効率を高めるために一元的なエンドポイントを使用して、AWS パブリック API エンドポイントをお客様のプライベート VPC アドレス空間に移行することを規定しています。
ステップ 4
イングレスおよびエグレス Infrastructure as a Service (IaaS) の一元的な検査: IaaS ベースのワークロードでは、イングレスおよびエグレスの一元的な要件がよく見られます。アーキテクチャはこの機能を提供するため、お客様は、AWS のイングレスおよびエグレスファイアウォール検査に関するネイティブサービス (AWS Network Firewall、AWS WAF、Elastic Load Balancing (ELB) を通じた Application Load Balancer など) が要件を満たしているかどうかを判断できます。満たしていない場合、お客様はサードパーティーのファイアウォールアプライアンスを使用してこれらの機能を拡張できます。アーキテクチャは、AWS ファイアウォールから始めてサードパーティーのファイアウォールに切り替えることや、イングレスおよびエグレスファイアウォールテクノロジーを組み合わせて使用することをサポートしています。
-
アプリケーション、コミュニティ、チーム、またはグループアカウント (機密)
-
このアーキテクチャ図は、ソフトウェア開発ライフサイクルの異なるステージに属するワークロード間、または異なる IT 管理ロール間のセグメント化と分離を設定する方法を示しています。このアーキテクチャ図のステップに従って、このガイダンスのアプリケーション、コミュニティ、チーム、またはグループアカウントの部分をデプロイします。
拡大イメージを見る
ステップ 1
セグメント化と分離: アーキテクチャは、ソフトウェア開発ライフサイクルの異なるステージに属するワークロード間、または異なる IT 管理ロール間 (ネットワーク、イングレスおよびエグレスファイアウォール、ワークロードなど) における強力なセグメント化と分離を提供するだけではありません。また、強力なネットワークゾーニングアーキテクチャも提供するため、ELB や AWS WAF などのサービスとともに、AWS Nitro System のハードウェアで強制されるステートフルファイアウォールであらゆるインスタンスやコンポーネントをラッピングすることで、環境をマイクロセグメント化します。
ステップ 2
すべてのネットワークフローは厳密に強制され、明示的に許可されない限り、アプリケーション間、アプリケーション内の階層間、およびアプリケーションの階層内のノード間の水平方向の移行は防止されます。さらに、CI/CD アーキテクチャに関するレコメンデーションにより、開発、テスト、および本番間のルーティングが防止され、デベロッパーの俊敏性が高まり、適切な承認を得た環境間でのコードプロモーションが容易になります。
ステップ 1
セグメント化と分離: アーキテクチャは、ソフトウェア開発ライフサイクルの異なるステージに属するワークロード間、または異なる IT 管理ロール間 (ネットワーク、イングレスおよびエグレスファイアウォール、ワークロードなど) における強力なセグメント化と分離を提供するだけではありません。また、強力なネットワークゾーニングアーキテクチャも提供するため、ELB や AWS WAF などのサービスとともに、AWS Nitro System のハードウェアで強制されるステートフルファイアウォールであらゆるインスタンスやコンポーネントをラッピングすることで、環境をマイクロセグメント化します。
ステップ 2
すべてのネットワークフローは厳密に強制され、明示的に許可されない限り、アプリケーション間、アプリケーション内の階層間、およびアプリケーションの階層内のノード間の水平方向の移行は防止されます。さらに、CI/CD アーキテクチャに関するレコメンデーションにより、開発、テスト、および本番間のルーティングが防止され、デベロッパーの俊敏性が高まり、適切な承認を得た環境間でのコードプロモーションが容易になります。
Well-Architected Pillars
AWS Well-Architected フレームワークは、クラウドでシステムを構築する際に行う決定の長所と短所を理解するのに役立ちます。フレームワークの 6 つの柱により、信頼性が高く、安全かつ効率的で、費用対効果が高く、持続可能なシステムを設計および運用するためのアーキテクチャのベストプラクティスを学ぶことができます。AWS マネジメントコンソールで無料で提供されている AWS Well-Architected Tool を使用し、各柱の一連の質問に回答することで、これらのベストプラクティスに照らしてワークロードを確認できます。
上記のアーキテクチャ図は、Well-Architected のベストプラクティスを念頭に置いて作成されたソリューションの例です。完全に Well-Architected であるためには、可能な限り多くの Well-Architected ベストプラクティスに従う必要があります。
-
運用上の優秀性運用上の優秀性に関するホワイトペーパーを読む
このガイダンスは、Organizations と AWS CloudFormation スタックおよび設定を使用して、AWS 環境のための安全な基盤を構築します。これは、技術的なセキュリティコントロールの実装を加速する Infrastructure as Code (IaC) ソリューションを提供します。Config ルールは、規定のアーキテクチャに悪影響を及ぼすと判断された設定デルタを是正します。機密として分類されたワークロードのために AWS グローバル商用インフラストラクチャを使用し、安全なシステムを自動化して、プロセスと手順を継続的に改善しながら、ミッションをより迅速に実行できます。
-
セキュリティセキュリティに関するホワイトペーパーを読む
このガイダンスは、Organizations を使用して、CloudTrail を利用した API ログ記録などの組織ガードレールのデプロイを容易にします。また、このガイダンスは、ガードレールメカニズムとして規範的な AWS SCP を使用する予防的コントロールも提供します。これは主に、環境内の API の特定のカテゴリまたはカテゴリ全体を拒否したり (ワークロードが指定されたリージョンにのみデプロイされるようにするため)、特定の AWS サービスへのアクセスを拒否したりするために使用されます。CloudTrail および CloudWatch ログは、AWS のサービスとアカウント全体で規定された包括的なログ収集と一元化をサポートします。AWS のセキュリティ機能と多数のセキュリティ関連サービスは、定義されたパターンで設定されており、世界でも極めて厳しいセキュリティ要件の一部を満たすのに役立ちます。
-
信頼性信頼性に関するホワイトペーパーを読む
このガイダンスは複数のアベイラビリティーゾーン (AZ) を使用するため、1 つの AZ が失われてもアプリケーションの可用性には影響しません。CloudFormation を利用して、安全かつ管理された方法でインフラストラクチャのプロビジョニングと更新を自動化できます。また、このガイダンスは、環境内の AWS リソース設定と設定変更を評価するための事前構築済みルールも提供します。あるいは、AWS Lambda でカスタムルールを作成して、ベストプラクティスとガイドラインを定義することもできます。需要に合わせて環境をスケールする機能を自動化し、設定ミスや一時的なネットワークの問題などの中断を軽減できます。
-
パフォーマンス効率パフォーマンス効率に関するホワイトペーパーを読む
このガイダンスは、Transit Gateway を利用してクラウドインフラストラクチャ管理を簡素化します。Transit Gateway は、単一のゲートウェイを通じて複数の VPC を接続する中心的なハブとして機能し、ネットワークアーキテクチャのスケールと維持をより容易にします。これにより、ネットワークアーキテクチャが簡素化され、組織内の異なる AWS アカウント間でのトラフィックの効率的なルーティングが容易になります。
-
コストの最適化コスト最適化に関するホワイトペーパーを読む
このガイダンスは、不要なコストや最適でないリソースの使用を回避したり、なくしたりする機能を提供します。Organizations は、一元化と一括請求 (コンソリデーティッドビリング) を提供し、リソースの使用とコスト最適化を厳密に分離します。このガイダンスは、コスト効率を高めるために一元化されたエンドポイントを使用して、AWS パブリック API エンドポイントを、プライベート VPC アドレス空間に移行することを規定しています。さらに、AWS コストと使用状況レポート (AWS CUR) を使用して、AWS の使用状況を追跡したり、料金を見積もったりできます。
-
持続可能性持続可能性に関するホワイトペーパーを読む
このガイダンスは、独自のデータセンター内でのワークロードの管理に関連する二酸化炭素排出量を削減するのに役立ちます。AWS グローバルインフラストラクチャは、サポートインフラストラクチャ (電源、冷却、ネットワークなど) と、従来のデータセンターよりも高い使用率およびより迅速なテクノロジーの更新を提供します。さらに、ワークロードのセグメント化と分離は、不要なデータ移動を削減するのに役立ちます。また、Amazon S3 はストレージ階層と、効率的なストレージ階層にデータを自動的に移動する機能を提供します。
関連コンテンツ
TSE-SE サンプル設定 (LZA オートメーションエンジンを使用)
Trusted Secure Enclaves - Sensitive Edition
免責事項
サンプルコード、ソフトウェアライブラリ、コマンドラインツール、概念の実証、テンプレート、またはその他の関連技術 (私たちの担当者から提供される前述のものを含む) は、AWS カスタマーアグリーメント、またはお客様と AWS との間の関連文書契約 (いずれか該当する方) に基づき、AWS コンテンツとしてお客様に提供されるものです。お客様は、この AWS コンテンツを、お客様の本番アカウント、または本番データもしくはその他の重要なデータで使用すべきではありません。お客様は、サンプルコードなどの AWS コンテンツを、お客様固有の品質管理手法および基準に基づいて、本番グレードでの使用に適したテスト、セキュリティ確保、および最適化を行う責任を負います。AWS コンテンツのデプロイには、Amazon EC2 インスタンスの実行や Amazon S3 ストレージの使用など、AWS の課金対象リソースを作成または使用するための AWS 料金が発生する場合があります。
本ガイダンスにおける第三者のサービスまたは組織への言及は、Amazon または AWS と第三者との間の承認、後援、または提携を意味するものではありません。AWS からのガイダンスは技術的な出発点であり、アーキテクチャをデプロイするときにサードパーティのサービスとの統合をカスタマイズできます。