NIST の「800 172」の運用のベストプラクティス - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

NIST の「800 172」の運用のベストプラクティス

コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、NIST 800-172 と AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールは特定の AWS リソースに適用され、1 つ以上の NIST 800-172 コントロールに関連付けられます。NIST の「800-172」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

コントロール ID コントロールの概要 AWS 設定ルール ガイダンス
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ebs-snapshot-public-restorable-check

EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ec2-instance-no-public-ip

Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

emr-master-no-public-ip

Amazon EMR クラスターのマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

lambda-function-public-access-prohibited

AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

lambda-inside-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

restricted-common-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-public-read-prohibited

Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-public-write-prohibited

Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があります。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

clb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

opensearch-in-vpc-only

Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ec2-token-hop-limit-check

インスタンスメタデータサービス (IMDS) の HTTP PUT 応答が Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに限定されていることを確認します。IMDSv2 では、メタデータ応答ホップ制限が 1 (Config デフォルト) に設定されているため、シークレットトークンを含む PUT 応答は、インスタンスの外に移動することができません。この値が 1 より大きい場合、トークンは EC2 インスタンスから移動することができます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

nacl-no-unrestricted-ssh-rdp

ポート 22 (SSH) やポート 3389 (RDP) などのネットワークアクセスコントロールリスト (NACLs) のリモートサーバー管理ポートへのアクセスは、VPC 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.2.1e ソーシャルエンジニアリング、高度持続的脅威行為者、侵入、不審な行動からの脅威の認識と対応に焦点を当てた意識向上トレーニング [Assignment: organization-defined frequency]を提供し、[Assignment: organization-defined frequency] または脅威に大きな変化があった場合にトレーニングを更新します。 security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

elastic-beanstalk-managed-updates-enabled

Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

rds-automatic-minor-version-upgrade-enabled

Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

ec2-stopped-instance

このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

ec2-volume-inuse-check

このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

eip-attached

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

vpc-network-acl-unused-check

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) のネットワークアクセスコントロールリストが使用されていることが確認されます。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS 基本的なセキュリティのベストプラクティス値: true)、 RequireSymbols (AWS 基礎セキュリティのベストプラクティス値: true)、 RequireNumbers (AWS 基礎セキュリティのベストプラクティス値: true)、 MinimumPasswordLength (AWS 基礎セキュリティのベストプラクティス値: 14)、 PasswordReusePrevention (AWS 基本的なセキュリティのベストプラクティス値: 24)、 および MaxPasswordAge (AWS 基礎セキュリティのベストプラクティス値: 90)。実際の値には、組織のポリシーを反映する必要があります。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

secretsmanager-rotation-enabled-check

このルールにより、 AWS Secrets Manager のシークレットでローテーションが有効になります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

secretsmanager-scheduled-rotation-success-check

このルールにより、 AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

secretsmanager-scheduled-rotation-success-check

このルールにより、 AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
3.11.1e リスク評価の一環として [Assignment: organization-defined sources of threat intelligence] を使用し、組織のシステム開発、セキュリティアーキテクチャ、セキュリティソリューションの選択、監視、脅威狩り、対応および復旧活動の指針とし、情報を提供することができます。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを識別するための悪意のある IPs と機械学習のリストが含まれます。
3.11.2e サイバー脅威ハンティング活動 [選択 ( 1 つまたは複数): [Assignment: organization- defined frequency]、[Assignment: organization-defined event]] を実施して、[Assignment: organization-defined systems] の侵害指標を検索し、既存の管理を回避する脅威を検出、追跡、および破壊します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを識別するための悪意のある IPs と機械学習のリストが含まれます。
3.11.5e 現在および蓄積された脅威情報に基づき、組織のシステムおよび組織に対する予想されるリスクに対処するためのセキュリティソリューション [Assignment: organization-defined frequency] の有効性を評価します。 annual-risk-assessment-performed (process check) 年に 1 回、組織のリスク評価を実施します。リスク評価は、組織に影響を及ぼす可能性のある特定のリスクや脆弱性の影響を判断するのに役立ちます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ebs-snapshot-public-restorable-check

EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ec2-instance-no-public-ip

Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

emr-master-no-public-ip

Amazon EMR クラスターのマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

lambda-function-public-access-prohibited

AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

lambda-inside-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-bucket-public-read-prohibited

Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-bucket-public-write-prohibited

Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

opensearch-in-vpc-only

Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

nacl-no-unrestricted-ssh-rdp

ポート 22 (SSH) やポート 3389 (RDP) などのネットワークアクセスコントロールリスト (NACLs) のリモートサーバー管理ポートへのアクセスは、VPC 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があります。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

restricted-common-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
3.14.1e ルートオブトラスト機構または暗号署名を使用して、[Assignment: organization-defined security critical or essential software] の完全性を検証します。

cloud-trail-log-file-validation-enabled

AWS CloudTrail ログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを識別するための悪意のある IPs と機械学習のリストが含まれます。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内の API コールアクティビティの詳細が提供されます AWS アカウント。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

ec2-instance-detailed-monitoring-enabled

このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

rds-enhanced-monitoring-enabled

Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

securityhub-enabled

AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。
3.14.6e [Assignment: organization-defined external organizations (割り当て: 組織で定義された外部組織)] から入手した脅威指標情報と効果的な緩和策を、侵入検知と脅威ハンティングの指針と情報に利用します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを識別するための悪意のある IPs と機械学習のリストが含まれます。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager は、マネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ecs-fargate-latest-platform-version

セキュリティの更新とパッチは、 AWS Fargate タスクに自動的にデプロイされます。 AWS Fargate プラットフォームのバージョンに影響するセキュリティ上の問題が見つかった場合、 はプラットフォームのバージョンを AWS パッチします。 AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するために、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ecr-private-image-scanning-enabled

Amazon Elastic Container Repository (ECR) イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for NIST 800 172」で入手できます。