翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# データを保護するためのセキュリティコントロールの推奨事項
<a name="data-controls"></a>

 AWS Well-Architected フレームワークは、データを保護するためのベストプラクティスを、データ分類、保管中のデータの保護、転送中のデータの保護の 3 つのカテゴリにグループ化します。このセクションで説明するセキュリティコントロールは、データ保護に関するベストプラクティスを実装するのに役立ちます。これらの基盤となるベストプラクティスは、クラウドでワークロードを設計する前に実施する必要があります。データの誤処理を防ぎ、組織的、法的、コンプライアンス上の義務を果たすのに役立ちます。このセクションのセキュリティコントロールを使用して、データ保護のベストプラクティスを実装してください。

**Topics**
+ [ワークロードレベルでデータを特定および分類](#data-classification)
+ [各データ分類レベルのコントロールを確立](#data-controls-classification-level)
+ [保管中のデータを暗号化する](#encrypt-data-at-rest)
+ [転送中のデータを暗号化する](#encrypt-data-in-transit)
+ [Amazon EBS スナップショットへのパブリックアクセスをブロック](#block-public-ebs)
+ [Amazon RDS スナップショットへのパブリックアクセスをブロック](#block-public-rds)
+ [Amazon RDS、Amazon Redshift、および AWS DMS リソースへのパブリックアクセスをブロックする](#block-public-access-instances)
+ [Amazon S3 バケットへのパブリックアクセスをブロック](#block-public-access-s3)
+ [重要な Amazon S3 バケット内のデータ削除に MFA を必須とする](#mfa-delete-s3-data)
+ [VPC に Amazon OpenSearch Service ドメインを設定](#opensearch-domains-vpc)
+ [AWS KMS key 削除のアラートを設定する](#kms-key-deletion)
+ [へのパブリックアクセスをブロックする AWS KMS keys](#block-public-access-keys)
+ [セキュアなプロトコルを使用してロードバランサーのリスナーを設定](#load-balancer-listeners)

## ワークロードレベルでデータを特定および分類
<a name="data-classification"></a>

データ分類とは、ネットワーク内のデータを重要度と機密性に基づいて識別、分類するプロセスのことです。データに適した保護および保持のコントロールを判断する際に役立つため、あらゆるサイバーセキュリティのリスク管理戦略において重要な要素です。データ分類を行うと、多くの場合、データ重複の頻度を減らせます。これにより、ストレージとバックアップのコストを削減すると共に、検索を高速化できます。

ワークロードが処理しているデータの種類と分類、それに関連するビジネスプロセス、データの保存場所、データの所有者について理解しておくことが推奨されます。データ分類は、ワークロードの所有者が機密データを保存する場所を特定し、そのデータにアクセスして共有する方法を判断するのに役立ちます。*タグ*は、 AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。タグは、リソースの管理、識別、整理、検索、フィルタリングに役立ちます。

詳細については、以下のリソースを参照してください。
+  AWS ホワイトペーパー[のデータ分類](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html) 
+  AWS Well-Architected フレームワークで[ワークロード内のデータを特定する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_identify_data.html) 

## 各データ分類レベルのコントロールを確立
<a name="data-controls-classification-level"></a>

分類レベルごとにデータ保護コントロールを定義します。例えば、推奨されるコントロールを使用してパブリックに分類されるデータを保護し、追加のコントロールを使用して機密データを保護します。メカニズムとツールを使用して、データに直接アクセスしたり、手動でデータを処理したりする必要性を軽減または排除できます。データの識別と分類を自動化することで、誤分類、誤処理、改ざん、人為的ミスのリスクが軽減されます。

例えば、Amazon Macie を使用して Amazon Simple Storage Service (Amazon S3) バケット内の個人を特定できる情報 (PII) などの機密データをスキャンすることを検討してください。また、Amazon Virtual Private Cloud (Amazon VPC) の VPC フローログを使用して、意図しないデータアクセスを自動的に検出することもできます。

詳細については、以下のリソースを参照してください。
+  AWS Well-Architected フレームワークで[データ保護コントロールを定義する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html) 
+ [識別および分類を自動化する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_auto_classification.html) ( AWS Well-Architected フレームワーク)
+  AWS 規範ガイダンスの[AWS プライバシーリファレンスアーキテクチャ (AWS PRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/privacy-reference-architecture/introduction.html) 
+ [Amazon Macie で機密データを検出](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) (Macie ドキュメント)
+ [VPC フローログを使用した IP トラフィックのログ記録](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html?ref=wellarchitected) (Amazon VPC ドキュメント)
+ for Things ブログの「 [を使用して PHI および PII データを検出する一般的な手法 AWS のサービス](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) AWS 」

## 保管中のデータを暗号化する
<a name="encrypt-data-at-rest"></a>

*保管中のデータ*とは、ストレージ内にあるデータなど、常に自社のネットワーク内にあるデータを指します。保管中のデータに対して暗号化と適切なアクセスコントロールを実装することで、不正アクセスのリスクを軽減できます。*暗号化*とは、人間が読み取り可能なプレーンテキストデータを暗号文に変換するコンピューティングプロセスです。暗号文をプレーンテキストに復号して使用できるようにするには、暗号化キーが必要です。では AWS クラウド、 AWS Key Management Service (AWS KMS) を使用して、データの保護に役立つ暗号化キーを作成および制御できます。

[各データ分類レベルのコントロールを確立](#data-controls-classification-level) で説明されているように、暗号化が必要なデータのタイプを指定するポリシーを作成することをお勧めします。どのデータを暗号化するか、またどのデータをトークン化やハッシュ化など別の手法で保護するかを決定する方法に関する基準を含めてください。

詳細については、以下のリソースを参照してください。
+ [デフォルトの暗号化の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) (Amazon S3 ドキュメント)
+ [新しい EBS ボリュームとスナップショットコピーに対するデフォルトの暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) (Amazon EC2 ドキュメント)
+ [Amazon Aurora リソースの暗号化](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) (Amazon Aurora ドキュメント)
+ [AWS KMSの暗号化の詳細の概要](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) ( AWS KMS ドキュメント)
+ [Creating an enterprise encryption strategy for data at rest](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-data-at-rest-encryption/welcome.html) ( AWS 規範ガイダンス)
+  AWS Well-Architected フレームワークで[保管時の暗号化を適用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_rest_encrypt.html) 
+ 特定の での暗号化の詳細については AWS のサービス、そのサービスの[AWS ドキュメント](https://docs.aws.amazon.com/index.html#products)を参照してください。

## 転送中のデータを暗号化する
<a name="encrypt-data-in-transit"></a>

*転送中のデータ*とは、ネットワーク内 (ネットワークリソース間など) を活発に移動するデータのことです。転送中のデータはすべて、安全な TLS プロトコルと暗号スイートを使用して暗号化します。データへの不正なアクセスを防止するためには、リソースとインターネット間のネットワークトラフィックを暗号化する必要があります。可能であれば、TLS を使用して内部 AWS 環境内のネットワークトラフィックを暗号化します。

詳細については、以下のリソースを参照してください。
+ [ビューワーと CloudFront の間の通信に HTTPS を要求する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) (Amazon CloudFront ドキュメント)
+ [AWS PrivateLink ドキュメント](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)
+  AWS Well-Architected フレームワークで[転送中の暗号化を強制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)する
+ 特定の での暗号化の詳細については AWS のサービス、そのサービスの[AWS ドキュメント](https://docs.aws.amazon.com/index.html#products)を参照してください。

## Amazon EBS スナップショットへのパブリックアクセスをブロック
<a name="block-public-ebs"></a>

[Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) は、 Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで使用するブロックレベルストレージのボリュームを提供します。ポイントインタイムスナップショットを作成することで、Amazon EBSボリュームのデータを Amazon S3 にバックアップできます。スナップショットは、他のすべての とパブリックに共有することも AWS アカウント、 AWS アカウント 指定した個人とプライベートに共有することもできます。

Amazon EBS スナップショットはパブリックに共有しないことをお勧めします。これは、誤って機密データが公開されるおそれがあるためです。スナップショットを共有すると、スナップショットのデータに他人がアクセスできるようになります。スナップショットは、そのすべてのデータを信頼して共有できる人とのみ共有してください。

詳細については、以下のリソースを参照してください。
+ [スナップショットの共有](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) (Amazon EC2 ドキュメント)
+ [Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-1) ( AWS Security Hub CSPM ドキュメント)
+ [ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) ( AWS Config ドキュメント)

## Amazon RDS スナップショットへのパブリックアクセスをブロック
<a name="block-public-rds"></a>

[Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) を使用すると、 AWS クラウドでリレーショナルデータベースをセットアップ、運用、スケーリングできます。Amazon RDS は、DB インスタンスのバックアップウィンドウ中に、DB インスタンスまたはマルチ AZ DB クラスターの自動バックアップを作成して保存します。Amazon RDS は DB インスタンスのストレージボリュームのスナップショットを作成し、個々のデータベースだけではなく、その DB インスタンス全体をバックアップします。手動スナップショットは、スナップショットをコピーしたり、そこから DB インスタンスを復元したりするために共有できます。

スナップショットをパブリックとして共有する場合は、スナップショット内のデータがプライベートでも機密でもないことを確認してください。スナップショットがパブリックに共有されると、すべての AWS アカウント にデータへのアクセス権が付与されます。これにより、Amazon RDS インスタンスのデータが意図せず漏えいしてしまうおそれがあります。

詳細については、以下のリソースを参照してください。
+ [DB スナップショットを共有する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) (Amazon RDS ドキュメント)
+  AWS Config rd[rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) ドキュメント
+ [RDS スナップショットは Security Hub CSPM ドキュメントのプライベートである必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-1) 

## Amazon RDS、Amazon Redshift、および AWS DMS リソースへのパブリックアクセスをブロックする
<a name="block-public-access-instances"></a>

Amazon RDS DB インスタンス、Amazon Redshift クラスター、および AWS Database Migration Service (AWS DMS) レプリケーションインスタンスをパブリックにアクセス可能に設定できます。`publiclyAccessible` フィールド値が `true` の場合、これらのリソースはパブリックにアクセスできます。パブリックアクセスを許可すると、不要なトラフィック、露出、データ漏えいが発生するおそれがあります。これらのリソースへのパブリックアクセスを許可しないことをお勧めします。

Amazon RDS DB インスタンス、 AWS DMS レプリケーションインスタンス、または Amazon Redshift クラスターがパブリックアクセスを許可するかどうかを検出するには、 AWS Config ルールまたは Security Hub CSPM コントロールを有効にすることをお勧めします。

**注記**  
レ AWS DMS プリケーションインスタンスのパブリックアクセス設定は、インスタンスのプロビジョニング後に変更することはできません。パブリックアクセス設定を変更するには、現在のインスタンスを削除してから再作成します。再作成する際は、**[パブリックアクセス可能]** オプションを選択しないでください。

詳細については、以下のリソースを参照してください。
+ Security [AWS DMS Hub CSPM ドキュメントでレプリケーションインスタンスを公開しないでください](https://docs.aws.amazon.com/securityhub/latest/userguide/dms-controls.html#dms-1) 
+ [RDS DB インスタンスは、Security Hub CSPM ドキュメントでパブリックアクセスを禁止する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html#rds-2) 
+ [Amazon Redshift クラスターは、Security Hub CSPM ドキュメントのパブリックアクセスを禁止する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/redshift-controls.html#redshift-1) 
+  AWS Config ドキュメントの [rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) 
+  AWS Config ドキュメントの「[dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)」
+ [redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) ( AWS Config ドキュメント)
+ [Amazon RDS DB インスタンスを変更する](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) (Amazon RDS ドキュメント)
+ [クラスターの変更](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) (Amazon Redshift ドキュメント)

## Amazon S3 バケットへのパブリックアクセスをブロック
<a name="block-public-access-s3"></a>

Amazon S3 バケットへのパブリックアクセスを不可にすることが、Amazon S3 セキュリティのベストプラクティスです。インターネット上のだれもがバケットを読み書きできる必要が明確にない限り、バケットがパブリックではないことを確認する必要があります。これにより、データの整合性とセキュリティが保護されます。 AWS Config ルールと Security Hub CSPM コントロールを使用して、Amazon S3 バケットがこのベストプラクティスに準拠していることを確認することができます。

詳細については、以下のリソースを参照してください。
+ [Amazon S3 のセキュリティベストプラクティス](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html#security-best-practices-prevent) (Amazon S3 ドキュメント)
+ Security Hub CSPM ドキュメントで [S3 パブリックアクセスブロック設定を有効にする必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-1) 
+ [S3 バケットは、Security Hub CSPM ドキュメントのパブリック読み取りアクセスを禁止する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-2) 
+ [S3 バケットは、Security Hub CSPM ドキュメントのパブリック書き込みアクセスを禁止する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/s3-controls.html#s3-3) 
+ [s3-bucket-public-read-prohibited ルール](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) ( AWS Config ドキュメント)
+  AWS Config ドキュメントで禁止されている [s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) 

## 重要な Amazon S3 バケット内のデータ削除に MFA を必須とする
<a name="mfa-delete-s3-data"></a>

Amazon S3 バケットで S3 バージョニングを行うときに、[MFA (多要素認証) Delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/versioning-workflows.html) が有効になるようにバケットを設定すれば、セキュリティをさらに強化できます。この設定を行うと、バケット所有者は、特定のバージョンを削除したりバケットのバージョニング状態を変更したりするリクエストに、2 つの認証形式を含めることが必要になります。組織にとって重要なデータを含むバケットに対して、この機能を有効にすることをお勧めします。これにより、バケットやデータの誤削除を防ぐことができます。

詳細については、以下のリソースを参照してください。
+ [MFA 削除の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) (Amazon S3 ドキュメント)

## VPC に Amazon OpenSearch Service ドメインを設定
<a name="opensearch-domains-vpc"></a>

Amazon OpenSearch Service は、 AWS クラウドにおける OpenSearch クラスターのデプロイ、オペレーション、スケーリングを支援するマネージドサービスです。Amazon OpenSearch Service は、OpenSearch とレガシー Elasticsearch オープンソースソフトウェア (OSS) をサポートしています。VPC 内にデプロイされた Amazon OpenSearch Service ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定により、転送中のデータへのアクセスが制限されるため、セキュリティ体制が向上します。Amazon OpenSearch Service ドメインをパブリックサブネットにアタッチしないこと、および VPC をベストプラクティスに従って設定することをお勧めします。

詳細については、以下のリソースを参照してください。
+ [VPC 内で Amazon OpenSearch Service ドメインを起動する](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) (Amazon OpenSearch Service デベロッパーガイド)
+  AWS Config ドキュメントの [opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) 
+ [OpenSearch ドメインは Security Hub CSPM ドキュメントの VPC にある必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/opensearch-controls.html#opensearch-2) 

## AWS KMS key 削除のアラートを設定する
<a name="kms-key-deletion"></a>

AWS Key Management Service (AWS KMS) キーは、削除後に復元することはできません。KMS キーが削除されると、KMS キーで暗号化されたデータは永久に復元できません。データへのアクセスを保持する必要がある場合は、キーを削除する前に、データを復号するか、新しい KMS キーで再暗号化する必要があります。KMS キーの削除は、そのキーをもう使用しないことが確実である場合にのみ行ってください。

KMS キーの削除が開始された場合に通知を受け取れるよう、Amazon CloudWatch アラームを設定することをお勧めします。KMS キーの削除は破壊的で潜在的に危険であるため、 AWS KMS では待機期間を設定し、7～30 日以内に削除をスケジュールする必要があります。このため、スケジュールされた削除を確認し、必要に応じてキャンセルすることができます。

詳細については、以下のリソースを参照してください。
+ [キー削除のスケジュールとキャンセル](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) ( AWS KMS ドキュメント)
+  AWS KMS ドキュメントの削除[保留中の KMS キーの使用を検出するアラームの作成](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) 
+ Security Hub CSPM ドキュメントで[AWS KMS keys 意図せずに削除しないでください](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html#kms-3) 

## へのパブリックアクセスをブロックする AWS KMS keys
<a name="block-public-access-keys"></a>

[キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)は、 AWS KMS keysへのアクセスを制御するための主な方法です。すべての KMS キーには、厳密に 1 つのキーポリシーが必要です。KMS キーへの匿名アクセスを許可すると、機密データの漏洩につながる可能性があります。パブリックにアクセス可能な KMS キーを特定し、これらのリソースに対する署名されていないリクエストが行われないように、アクセスポリシーを更新することをお勧めします。

詳細については、以下のリソースを参照してください。
+  AWS KMS ドキュメントの [のセキュリティのベストプラクティス AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) 
+  AWS KMS ドキュメントの[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) 
+  AWS KMS ドキュメントの [へのアクセスの確認 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html) 

## セキュアなプロトコルを使用してロードバランサーのリスナーを設定
<a name="load-balancer-listeners"></a>

[Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) は、受信アプリケーショントラフィックを複数のターゲットに自動的に分散します。1 つ以上の*リスナー*を指定することで、受信トラフィックを受け入れるようにロードバランサーを設定します。リスナーとは、設定したプロトコルとポートを使用して接続リクエストをチェックするプロセスです。各タイプのロードバランサーは、以下のようにサポートするプロトコルとポートが異なります。
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) はアプリケーションレイヤーでルーティングを決定し、HTTP または HTTPS プロトコルを使用します。
+ [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) はトランスポートレイヤーでルーティングを決定し、TCP、TLS、UDP、または TCP\_UDP プロトコルを使用します。
+ [Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) は、トランスポートレイヤー (TCP または SSL プロトコルを使用) またはアプリケーションレイヤー (HTTP または HTTPS プロトコルを使用) でルーティングを決定します。

常に HTTPS または TLS プロトコルを使用することをお勧めします。これらのプロトコルにより、クライアントとターゲット間のトラフィックの暗号化および復号化をロードバランサーが担当することが保証されます。

詳細については、以下のリソースを参照してください。
+ [Application Load Balancer のリスナー](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) (Elastic Load Balancing のドキュメント)
+ [Listeners for your Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html) (Elastic Load Balancing ドキュメント)
+ [Network Load Balancer のリスナー](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-listeners.html) (Elastic Load Balancing ドキュメント)
+  AWS 規範ガイダンスで[AWS ロードバランサーが安全なリスナープロトコルを使用していることを確認する](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/ensure-aws-load-balancers-use-secure-listener-protocols-https-ssl-tls.html) 
+  AWS Config ドキュメントの「[elb-tls-https-listeners-only](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)」
+ [Classic Load Balancer リスナーは、Security Hub CSPM ドキュメントの HTTPS または TLS 終了で設定する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-3) 
+ [Application Load Balancer は、Security Hub CSPM ドキュメントのすべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1)。