翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
NZISM 3.8 運用のベストプラクティス
コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下は、ニュージーランド政府通信セキュリティ局 (GCSB) の情報セキュリティマニュアル (NZISM) 2022-09 バージョン 3.8
このコンフォーマンスパックのサンプルテンプレートは、NZISM フレームワーク内のコントロールへのマッピングを含んでおり、これは、人員、情報および物理的セキュリティの管理に対するニュージーランド政府の期待値を定めた保護セキュリティ要件 (PSR) フレームワークの不可欠な部分です。
The NZISM is licensed under the Creative Commons Attribution 4.0 New Zealand licence, available at https://creativecommons.org/licenses/by/4.0/
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | このコントロールは、Amazon ECS のタスク定義の、コンテナ定義における特権パラメータが true に設定されているかどうかをチェックします。このパラメータの値が true である場合、このコントロールは失敗します。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。昇格された特権を、ECS タスク定義から削除することが推奨されます。この特権パラメータが true の場合、このコンテナには、ホストコンテナインスタンスに対する昇格された特権が付与されます (ルートユーザーと同様)。 | |
| 1149 | ソフトウェアセキュリティ、標準運用環境、強化された SOE の開発 (14.1.8.C.01.) | このコントロールは、Amazon ECS コンテナが、マウントされたルートファイルシステムへの読み取り専用アクセスに制限されているかどうかをチェックします。Amazon ECS のタスク定義の、コンテナ定義で ReadonlyRootFilesystem パラメータが false に設定されている場合、このコントロールは失敗します。このコントロールは、Amazon ECS タスク定義の最新のアクティブなリビジョンのみを評価します。このオプションを有効にすると、ファイルシステムフォルダとディレクトリに対する明示的な読み取り/書き込み権限がない限り、コンテナインスタンスのファイルシステムへの改ざんや書き込みができないため、セキュリティ攻撃ベクトルを減らすことができます。このコントロールは、最小特権の原則にも準拠しています。 | |
| 1661 | ソフトウェアセキュリティ、ウェブアプリケーション開発、エージェンシーのウェブサイトコンテンツ (14.5.6.C.01.) | このコントロールは、Amazon CloudFront ディストリビューションがデフォルトのルートオブジェクトである特定のオブジェクトを返すように設定されているかどうかをチェックします。CloudFront ディストリビューションにデフォルトのルートオブジェクトが設定されていない場合、コントロールは失敗します。ユーザーは、ディストリビューション内のオブジェクトではなく、ディストリビューションのルート URL を要求することがあります。この場合、デフォルトのルートオブジェクトを指定することで、ウェブディストリビューションのコンテンツの漏洩を防止できます。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします | |
| 1667 | ソフトウェアセキュリティ、ウェブアプリケーション開発、ウェブアプリケーション (14.5.8.C.01.) | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。This rule requires a value for daysToExpiration。The value is 90 days。 | |
| 1667 | ソフトウェアセキュリティ、ウェブアプリケーション開発、ウェブアプリケーション (14.5.8.C.01.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 1841 | アクセスコントロールとパスワード、識別、認証とパスワード、システムユーザー識別と認証の方法 (16.1.35.C.02.) | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | このコントロールは、Amazon CloudFront ディストリビューションで視聴者が HTTPS を直接使用する必要性、またはリダイレクトを使用するかどうかをチェックします。ViewerProtocolPolicy が defaultCacheBehavior または cacheBehaviors の allow-all に設定されている場合、コントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | このコントロールは Elasticsearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインのノード間の暗号化を有効にすると、クラスター内の通信が転送中に確実に暗号化されます。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1847 | アクセスコントロールとパスワード、識別、認証とパスワード、転送中の認証データの保護 (16.1.37.C.01.) | このコントロールは、OpenSearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。OpenSearch ドメインでノード間の暗号化を有効にすると、クラスター内通信は転送中に確実に暗号化されます。 | |
| 1858 | アクセスコントロールとパスワード、識別、認証とパスワード、パスワード選択ポリシー (16.1.40.C.02.) | HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。 | |
| 1893 | アクセスコントロールとパスワード、識別、認証とパスワード、アクセスの停止 (16.1.46.C.02.) | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge を 30 日間に設定します。 | |
| 1946 | アクセスコントロールとパスワード、特権ユーザーアクセス、特権アカウントの使用 (16.3.5.C.02.) | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 1946 | アクセスコントロールとパスワード、特権ユーザーアクセス、特権アカウントの使用 (16.3.5.C.02.) | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | CloudWatch Logs で CloudTrail を使用するように設定して、証跡ログをモニタリングし、特定のアクティビティの発生時に通知を受けることができます。このルールは AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されているかどうかを確認します。 | |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 1998 | アクセスコントロールとパスワード、イベントログ記録と監査、システム管理ログの管理 (16.6.6.C.02.) | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。最低保有期間は 18 ヶ月です。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | このコントロールは、CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。CloudFront アクセスログは、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 2013 | アクセスコントロールとパスワード、イベントのログ記録と監査、記録する追加のイベント (16.6.10.C.02.) | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| 2022 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログ保護 (16.6.12.C.01.) | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 2022 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログ保護 (16.6.12.C.01.) | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| 2028 | アクセスコントロールとパスワード、イベントログ記録と監査、イベントログアーカイブ (16.6.13.C.01.) | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。最低保有期間は 18 ヶ月です。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。本番稼働前の環境では免除を受けることができます。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータ暗号化の構成では、AWS KMS は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータ暗号化の構成では、AWS KMS は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 2082 | 暗号化、暗号化の基礎、ストレージと物理的な転送要件の削減 (17.1.53.C.04.) | 保管中のデータを保護するため、S3 バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。暗号化プロセスと管理の詳細については、AWS Key Management Service (AWS KMS) でカスタマーマネージド CMK をご利用ください。SSE が有効になっている場合、非機密データを含むバケットには免除が適用されます。 | |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2090 | 暗号化、暗号化の基礎、情報およびシステム保護 (17.1.55.C.02.) | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2598 | TLS を使用した暗号化、Transport Layer Security (17.4.16.C.01.) | 転送中のデータを保護するため、Classic ElasticLoadBalancer SSL のリスナーがカスタムセキュリティポリシーを使用していることを確認します。これらのポリシーは、システム間の暗号化されたネットワーク通信を実現するための、さまざまな高強度の暗号化アルゴリズムを提供します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。セキュリティポリシーは、Protocol-TLSv1.2、ECDHE-ECDSA-AES128-GCM-SHA256 です。 | |
| 2600 | TLS を使用した暗号化、Transport Layer Security (17.4.16.C.02.) | 転送中のデータを保護するため、Classic ElasticLoadBalancer SSL のリスナーがカスタムセキュリティポリシーを使用していることを確認します。これらのポリシーは、システム間の暗号化されたネットワーク通信を実現するための、さまざまな高強度の暗号化アルゴリズムを提供します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、Protocol-TLSv1.2、ECDHE-ECDSA-AES128-GCM-SHA256 です。 | |
| 2726 | 暗号化、Secure Shell、自動リモートアクセス (17.5.8.C.02.) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 3021 | 暗号化、キー管理、KMP の内容 (17.9.25.C.01.) | AWS KMS を使用すると、お客様はバッキングキーをローテーションすることができます。バッキングキーは、AWS KMS に格納されているキーマテリアルであり、CMK のキー ID に関連付けられています。バッキングキーは、暗号化や復号化などの暗号化オペレーションを実行するために使用されます。現在、キーの自動ローテーションでは以前のすべてのバッキングキーが保持されるため、暗号化したデータは透過的に復号化できます。新しいキーで暗号化されたデータは、漏洩した可能性がある以前のキーではアクセスできないため、暗号化キーをローテーションすることで、漏洩したキーにより起こる可能性のある被害を減らすことができます。 | |
| 3205 | ネットワークセキュリティ、ネットワーク管理、ネットワークアクセスの制限 (18.1.13.C.02.) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。許可されたインターネットポートリストは 443 のみ | |
| 3449 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.02.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| 3449 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.02.) | このコントロールは、プライベート ECR リポジトリでイメージスキャニングが設定されているかどうかをチェックします。プライベート ECR リポジトリでイメージスキャニングが設定されていないと、このコントロールは失敗します。各リポジトリがこのコントロールを渡すようにプッシュ時にスキャンを設定する必要もあることに注意してください。ECR イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR は、オープンソースの Clair プロジェクトの共通脆弱性識別子 (CVE) データベースを使用し、スキャン結果のリストを表示します。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。 | |
| 3449 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.02.) | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を TRUE に設定します。 | |
| 3451 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.04.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| 3452 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.05.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| 3452 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.05.) | このコントロールは、Elastic Beanstalk 環境でマネージドプラットフォームの更新が有効になっているかどうかをチェックします。マネージドプラットフォームの更新を有効にすると、環境で使用可能な最新のプラットフォームの修正、更新、および機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。 | |
| 3452 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.05.) | このコントロールは、RDS データベースインスタンスでマイナーバージョン自動アップグレードが有効になっているかどうかをチェックします。マイナーバージョン自動アップグレードを有効にすると、リレーショナルデータベース管理システム (RDBMS) に最新のマイナーバージョンの更新がインストールされます。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。 | |
| 3453 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.06.) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| 3453 | 製品のセキュリティ、製品のパッチ適用と更新、製品の脆弱性へのパッチ適用 (12.4.4.C.06.) | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を TRUE に設定します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。WAF が有効になっている CloudFront ディストリビューションのオリジンがロードバランサーである場合は、免除が適用されます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。このコントロールは、AWS WAF リージョナルウェブ ACL が REST API Gateway ステージに添付済みでない場合は失敗します。AWSWAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。API Gateway ステージが AWS WAF ウェブ ACL に関連付けられ、悪意のある攻撃から確実に保護されていることを確認します。API Gateway が WAF が有効になっている CloudFront ディストリビューションのオリジンである場合、免除が適用されます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | このコントロールは、CloudFront ディストリビューションが AWS WAF または AWS WAFv2 ウェブ ACL のいずれかと関連付けられているかどうかをチェックします。ディストリビューションがウェブ ACL に関連付けられていない場合、コントロールは失敗します。AWSWAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これで、ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる一連のルールを設定することができます。このルールは、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントします。CloudFront ディストリビューションを悪意のある攻撃から保護するために、AWS WAF ウェブ ACL に関連付けられていることを確認しください。このルールは us-east-1 リージョンで適用する必要があります。テンプレートパラメータ DeployEdgeRules = true を使用してデプロイします | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | このコントロールは、Elasticsearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由する必要なく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | このコントロールは、OpenSearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。VPC 内にデプロイされた OpenSearch ドメインは、プライベート AWS ネットワーク経由で VPC リソースと通信できます。パブリックインターネットを経由する必要はありません。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| 3562 | ゲートウェイセキュリティ、ゲートウェイ、ゲートウェイの設定 (19.1.12.C.01.) | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | このコントロールは、Elasticsearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由する必要なく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | このコントロールは、OpenSearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。VPC 内にデプロイされた OpenSearch ドメインは、プライベート AWS ネットワーク経由で VPC リソースと通信できます。パブリックインターネットを経由する必要はありません。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3623 | ゲートウェイセキュリティ、ゲートウェイ、非武装ゾーン (19.1.14.C.02.) | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 3815 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS メンテナンス (18.4.9.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、GuardDuty EKS 監査ログモニタリングが有効になっているかを確認します。GuardDuty EKS 監査ログのモニタリングは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの疑わしいアクティビティの可能性を検出するのに役立ちます。EKS 監査ログのモニタリングは、ユーザー、Kubernetes API を使用するアプリケーション、およびコントロールプレーンからの時系列アクティビティをキャプチャします。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、自動エージェント管理による GuardDuty EKS ランタイムモニタリングが有効になっているかを確認します。Amazon GuardDuty の EKS Protection は、脅威検出の範囲を提供し、AWS 環境内の Amazon EKS クラスターを保護するのに役立ちます。EKS Runtime Monitoring は、オペレーティングシステムレベルのイベントを使用して、EKS クラスター内の EKS ノードとコンテナにおける潜在的な脅威を検出するのに役立ちます。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、GuardDuty Lambda Protection が有効になっているかどうかをチェックします。GuardDuty Lambda Protection は、AWS Lambda 関数が呼び出されたときに潜在的なセキュリティ脅威を特定するのに役立ちます。Lambda Protection を有効にすると、GuardDuty は AWS アカウント内の Lambda 関数に関連付けられた Lambda ネットワークアクティビティログのモニタリングを開始します。Lambda 関数が呼び出され GuardDuty が Lambda 関数に潜在的に悪意のあるコードが存在することを示す疑わしいネットワークトラフィックを特定した場合、GuardDuty は検出結果を生成します。 | |
| 3857 | ネットワークセキュリティ、侵入の検出と防止、IDS/IPS の設定 (18.4.11.C.01.) | このコントロールは、GuardDuty S3 Protection が有効になっているかどうかをチェックします。S3 Protection により、GuardDuty はオブジェクトレベルの API オペレーションをモニタリングし、Amazon S3 バケット内のデータの潜在的なセキュリティリスクを特定できるようになります。GuardDuty は AWS CloudTrail 管理イベントと CloudTrail S3 データイベントを分析して S3 リソースに対する脅威をモニタリングします。 | |
| 3875 | ネットワークセキュリティ、侵入の検出と防止、イベント管理と相関 (18.4.12.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| 3875 | ネットワークセキュリティ、侵入の検出と防止、イベント管理と相関 (18.4.12.C.01.) | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| 4333 | データ管理、コンテンツフィルタリング、コンテンツ検証 (20.3.7.C.02.) | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| 4333 | データ管理、コンテンツフィルタリング、コンテンツ検証 (20.3.7.C.02.) | このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。このコントロールは、AWS WAF リージョナルウェブ ACL が REST API Gateway ステージに添付済みでない場合は失敗します。AWSWAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。API Gateway ステージが AWS WAF ウェブ ACL に関連付けられ、悪意のある攻撃から確実に保護されていることを確認します。API Gateway が WAF が有効になっている CloudFront ディストリビューションのオリジンである場合、免除が適用されます。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータ暗号化の構成では、AWS KMS は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータ暗号化の構成では、AWS KMS は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4441 | データ管理、データベース、データベースファイル (20.4.4.C.02.) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 | |
| 4445 | データ管理、データベース、説明責任 (20.4.5.C.02.) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 4445 | データ管理、データベース、説明責任 (20.4.5.C.02.) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 | |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | Amazon Aurora は、単一の AWS リージョン内に存在する複数のアベイラビリティーゾーンにまたがる DB クラスターにデータのコピーを保存します。Aurora は、DB クラスターのインスタンスが複数のアベイラビリティーゾーンにまたがっているかどうかにかかわらず、これらのコピーを作成します。データがプライマリ DB インスタンスに書き込まれると、Aurora によりアベイラビリティーゾーン全体で、クラスターボリュームに関連付けられた 6 つのストレージノードにデータが同期的に複製されます。これにより、データの冗長性が確保されて I/O のフリーズが回避され、システムバックアップ時のレイテンシー急上昇が最小限に抑えられます。高可用性を備えた DB インスタンスを実行すると、計画されたシステムメンテナンス中の可用性が向上し、障害とアベイラビリティーゾーンの中断からデータベースを保護できます。このルールは、Amazon RDS によって管理される Amazon Aurora クラスタで、Multi-AZ レプリケーションが有効であるかどうかをチェックします。本番稼働前の環境では免除を受けることができます。 | |
| 4829 | エンタープライズシステムセキュリティ、クラウドコンピューティング、システム可用性 (22.1.23.C.01.) | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。本番稼働前の環境では免除を受けることができます。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 4838 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.03.) | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは、Elasticsearch ドメインで、保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように Elasticsearch Service ドメインを設定する必要があります。保管中のデータ暗号化の構成では、AWS KMS は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは Elasticsearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。Elasticsearch ドメインのノード間の暗号化を有効にすると、クラスター内の通信が転送中に確実に暗号化されます。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは、OpenSearch ドメインで保管中の暗号化設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。機密データのセキュリティを強化するには、保管中に暗号化するように OpenSearch Service ドメインを設定する必要があります。保管中のデータ暗号化の構成では、AWS KMS は暗号化キーを保存および管理します。暗号化を実行するために、AWS KMS は 256 ビットキーを使用した Advanced Encryption Standard アルゴリズム (AES-256) を使用します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | このコントロールは、OpenSearch ドメインでノード間の暗号化が有効になっているかどうかをチェックします。ドメインでノード間の暗号化が無効になっている場合、このコントロールは失敗します。HTTPS (TLS) を使用すると、潜在的な攻撃者が中間者攻撃または同様の攻撃を使用してネットワークトラフィックを盗聴または操作することを防止できます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。OpenSearch ドメインでノード間の暗号化を有効にすると、クラスター内通信は転送中に確実に暗号化されます。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 4839 | エンタープライズシステムセキュリティ、クラウドコンピューティング、不正アクセス (22.1.24.C.04.) | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。トピックに発行されたメッセージに機密データが含まれていない場合は、例外が適用されます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | データのバックアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | Amazon RDS インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、RDS インスタンが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。補償的復旧ソリューションが設定されている場合、免除を利用できます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| 4849 | エンタープライズシステムセキュリティ、クラウドコンピューティング、バックアップ、リカバリアーカイブ、データの残留 (22.1.26.C.01.) | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。免除は、オブジェクトの単一のバリアントのみが作成されるとき、または補償的復旧ソリューションが設定されている場合に利用できます。 | |
| 6843 | アクセスコントロールとパスワード、特権アクセス管理、最小特権の原則 (16.4.31.C.02.) | MFA では、さらなるセキュリティが追加されます。AWS ウェブサイトやサービスにアクセスするときに、ユーザーは、通常のログイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。サポートされるメカニズムには、U2F セキュリティキー、仮想またはハードウェア MFA デバイス、SMS ベースのコードなどがあります。コンソールパスワードを使用するすべての AWS Identity and Access Management (IAM) ユーザーに対して、AWS Multi-Factor Authentication (MFA) が有効になっているかどうかを確認します。MFA が有効の場合、このルールは COMPLIANT です。 | |
| 6843 | アクセスコントロールとパスワード、特権アクセス管理、最小特権の原則 (16.4.31.C.02.) | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 6852 | アクセスコントロールとパスワード、特権アクセス管理、特権アクセス認証情報の停止と取り消し (16.4.33.C.01.) | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge を 30 日間に設定します。 | |
| 6860 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.02.) | CloudWatch Logs で CloudTrail を使用するように設定して、証跡ログをモニタリングし、特定のアクティビティの発生時に通知を受けることができます。このルールは AWS CloudTrail 証跡がログを Amazon CloudWatch Logs に送信するように設定されているかどうかを確認します。 | |
| 6860 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.02.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 6861 | アクセスコントロールとパスワード、特権アクセス管理、モニタリングとレビュー (16.4.35.C.03.) | このルールでは、複数の設定が有効になっていることをチェックすることで、AWS CloudTrail で AWS が推奨するセキュリティのベストプラクティスが使用されるようになります。これには、ログ暗号化の使用、ログ検証、複数のリージョンでの AWS CloudTrail の有効化が含まれます。 | |
| 6953 | アクセスコントロールとパスワード、多要素認証、システムアーキテクチャとセキュリティコントロール (16.7.34.C.02.) | MFA では、さらなるセキュリティが追加されます。AWS ウェブサイトやサービスにアクセスするときに、ユーザーは、通常のログイン認証情報に加えて、AWS でサポートされている MFA メカニズムからの一意の認証情報を求められるためです。サポートされるメカニズムには、U2F セキュリティキー、仮想またはハードウェア MFA デバイス、SMS ベースのコードなどがあります。コンソールパスワードを使用するすべての AWS Identity and Access Management (IAM) ユーザーに対して、AWS Multi-Factor Authentication (MFA) が有効になっているかどうかを確認します。MFA が有効の場合、このルールは COMPLIANT です。 | |
| 6953 | アクセスコントロールとパスワード、多要素認証、システムアーキテクチャとセキュリティコントロール (16.7.34.C.02.) | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7436 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7437 | パブリッククラウドセキュリティ、ID 管理とアクセスコントロール、ユーザー名とパスワード (23.3.19.C.01.) | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。このコントロールは、AWS WAF リージョナルウェブ ACL が REST API Gateway ステージに添付済みでない場合は失敗します。AWSWAF は、ウェブアプリケーションと API を攻撃から保護するウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。API Gateway ステージが AWS WAF ウェブ ACL に関連付けられ、悪意のある攻撃から確実に保護されていることを確認します。API Gateway が WAF が有効になっている CloudFront ディストリビューションのオリジンである場合、免除が適用されます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | このコントロールは、Elasticsearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。Elasticsearch ドメインがパブリックサブネットに添付済みでないことを確認する必要があります。VPC 内にデプロイされた Elasticsearch ドメインは、パブリックインターネットを経由する必要なく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む Elasticsearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | このコントロールは、OpenSearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。OpenSearch ドメインがパブリックサブネットに添付済みではないことを確認する必要があります。VPC 内にデプロイされた OpenSearch ドメインは、プライベート AWS ネットワーク経由で VPC リソースと通信できます。パブリックインターネットを経由する必要はありません。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPC は、ネットワーク ACL やセキュリティグループを含む、OpenSearch ドメインへのアクセスを安全にするため、多数のネットワークコントロールを提供します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls を TRUE、blockPublicPolicy を TRUE、blockPublicAcls を TRUE、restrictPublicBuckets を TRUE に設定します。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| 7466 | パブリッククラウドセキュリティ、パブリッククラウドでのデータ保護、データアクセシビリティ (23.4.10.C.01.) | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | このコントロールは、CloudFront ディストリビューションでサーバーアクセスのログ記録が有効になっているかどうかをチェックします。ディストリビューションでアクセスのログ記録が有効でない場合、コントロールは失敗します。CloudFront アクセスログは、CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を提供します。各ログには、リクエストが受信された日時、リクエストを行ったビューワーの IP アドレス、リクエストソース、ビューワーからのリクエストポート番号などの情報が含まれます。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。このルールは us-east-1 リージョンで適用する必要があります。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 7496 | パブリッククラウドのセキュリティ、パブリッククラウドでのログ記録とアラート、ログ記録の要件 (23.5.11.C.01.) | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 |
テンプレート
テンプレートは、GitHub の「Operational Best Practices for
