翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS SRA ベストプラクティスチェックリスト
| |
| --- |
| [簡単なアンケート](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)に回答して、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。 |
このセクションでは、このガイドで詳しく説明されている AWS SRA のベストプラクティスをチェックリストにまとめています。このチェックリストに従って、セキュリティアーキテクチャのバージョンを構築できます AWS。このリストは、ガイドを確認する代替としてではなく、参照点として使用してください。チェックリストは 別にグループ化されています AWS のサービス。 AWS SRA ベストプラクティスチェックリストに照らして既存の AWS 環境をプログラムで検証する場合は、[SRA Verify](https://github.com/awslabs/sra-verify) を使用できます。
SRA Verify は、複数の AWS アカウント およびリージョンにわたる SRA AWS に対する組織の整合性を評価するのに役立つセキュリティ評価ツールです。 AWS SRA ガイダンスに照らして実装を検証する自動チェックを提供することで、SRA AWS レコメンデーションに直接マッピングされます。このツールは、セキュリティサービスがリファレンスアーキテクチャに従って適切に設定されていることを確認するのに役立ちます。詳細な検出結果と実用的な修復手順を提供し、 AWS 環境がセキュリティのベストプラクティスに従っていることを確認します。SRA Verify は、組織監査 (セキュリティツール) アカウント AWS CodeBuild で で実行されるように設計されています。ローカルで実行することも、SRA Verify ライブラリを使用して拡張することもできます。
**注記**
SRA Verify には複数のサービスのチェックが含まれていますが、SRA AWS のすべての考慮事項のチェックが含まれているとは限りません。詳細については、[AWS SRA ライブラリ](about-sra-library.md)のガイドを参照してください。
## AWS Organizations
+ AWS Organizations は[すべての機能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#feature-set-all)で有効になっています。
+ [サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) は、IAM プリンシパルのアクセスコントロールガイドラインを定義するために使用されます。
+ [リソースコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) (RCPs) は、 AWS リソースのアクセスコントロールガイドラインを定義するために使用されます。
+ [宣言ポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)は、組織全体 AWS のサービス で特定の に必要な設定を一元的に宣言して適用するために使用されます。
+ 基盤サービスを提供するメンバーアカウントをグループ化するために、3 つの基盤 OUs (セキュリティ、インフラストラクチャ、ワークロード) が作成されます。
+ [Security Tooling アカウント](security-tooling.md)は Security OU の下に作成されます。このアカウントでは、 AWS セキュリティサービスやその他のサードパーティーのセキュリティツールを一元管理できます。
+ [ログアーカイブアカウント](log-archive.md)は、セキュリティ OU の下に作成されます。このアカウントは、 AWS のサービス およびアプリケーションログの厳密に制御された中央ログリポジトリを提供します。
+ [ネットワークアカウント](network.md)は、インフラストラクチャ OU の下に作成されます。このアカウントは、アプリケーションとより広範なインターネット間のゲートウェイを管理します。ネットワークサービス、設定、オペレーションを個々のアプリケーションワークロード、セキュリティ、その他のインフラストラクチャから分離します。
+ [共有サービスアカウント](shared-services.md)は、インフラストラクチャ OU の下に作成されます。このアカウントは、複数のアプリケーションやチームが成果をあげるために利用するサービスをサポートしています。
+ [アプリケーションアカウント](application.md)はワークロード OU の下に作成されます。このアカウントは、エンタープライズアプリケーションを実行および維持するためのプライマリインフラストラクチャとサービスをホストします。このガイドは表現を提供しますが、実際には、アプリケーション、開発環境、その他のセキュリティ上の考慮事項によって分離された複数の OUs とメンバーアカウントがあります。
+ すべてのメンバーアカウントの請求、オペレーション、セキュリティに関する代替連絡先情報が設定されます。
## AWS CloudTrail
+ 組織の証跡は、管理アカウントと組織内のすべてのメンバーアカウント AWS で CloudTrail 管理イベントを配信できるように設定されています。
+ 組織の証跡は、マルチリージョン証跡として設定されます。
+ 組織の証跡は、グローバルリソースからイベントをキャプチャするように設定されています。
+ 特定のデータイベントをキャプチャするための追加の証跡は、機密 AWS リソースアクティビティをモニタリングするために必要に応じて設定されます。
+ Security Tooling アカウントは、組織の証跡の委任管理者として設定されます。
+ 組織の証跡は、すべての新しいメンバーアカウントで自動的に有効になるように設定されています。
+ 組織の証跡は、ログアーカイブアカウントでホストされている一元化された S3 バケットにログを発行するように設定されています。
+ 組織の証跡では、ログファイルの整合性を検証するためにログファイルの検証が有効になっています。
+ 組織の証跡は、ログの保持のために CloudWatch Logs と統合されています。
+ 組織の証跡は、カスタマーマネージドキーを使用して暗号化されます。
+ Log Archive アカウントのログリポジトリに使用される中央 S3 バケットは、カスタマーマネージドキーで暗号化されます。
+ Log Archive アカウントのログリポジトリに使用される中央 S3 バケットは、イミュータビリティのために S3 オブジェクトロックで設定されています。
+ バージョニングは、ログアーカイブアカウントのログリポジトリに使用される中央 S3 バケットに対して有効になります。
+ Log Archive アカウントのログリポジトリに使用される中央 S3 バケットには、[リソースポリシー](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html#organizational-trail-prepare-confused-deputy)が定義されており、リソース Amazon リソースネーム (ARN) を通じて組織の証跡によってのみオブジェクトのアップロードを制限します。
## AWS Security Hub CSPM
+ Security Hub CSPM は、すべてのメンバーアカウントと管理アカウントで有効になっています。
+ AWS Config は、Security Hub CSPM の前提条件として、すべてのメンバーアカウントで有効になっています。
+ Security Tooling アカウントは、Security Hub CSPM の委任管理者として設定されます。
+ Amazon GuardDuty と Amazon Detective には、スムーズなサービス統合のために Security Hub CSPM と同じ委任管理者アカウントがあります。
+ 中央設定は、複数の と にわたって Security Hub CSPM を設定 AWS アカウント および管理するために使用します AWS リージョン。
+ すべての OU アカウントとメンバーアカウントは、Security Hub CSPM の委任管理者によって*一元管理*として指定されます。
+ Security Hub CSPM は、すべての新しいメンバーアカウントで自動的に有効になります。
+ Security Hub CSPM は、新しい標準の設定に対して自動的に有効になります。
+ すべてのリージョンからの Security Hub CSPM の検出結果は、単一のホームリージョンに集約されます。
+ すべてのメンバーアカウントからの Security Hub CSPM の検出結果は、Security Tooling アカウント内で集計されます。
+ Security Hub CSPM [AWS の Foundational Best Practices](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) (FSBP) 標準は、すべてのメンバーアカウントで有効になっています。
+ Security Hub CSPM の [CIS AWS Foundation Benchmark](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html) 標準は、すべてのメンバーアカウントで有効になっています。
+ 必要に応じて、他の Security Hub CSPM 標準が有効になっています。
+ Security Hub CSPM 自動化ルールは、検出結果をリソースコンテキストで強化するために使用されます。
+ Security Hub CSPM 自動応答および修復機能は、特定の検出結果に対して自動アクションを実行するカスタム EventBridge ルールを作成するために使用されます。
## AWS Config
+ AWS Config レコーダーは、すべてのメンバーアカウントと管理アカウントで有効になっています。
+ AWS Config レコーダーはすべてのリージョンで有効になっています。
+ AWS Config 配信チャネル S3 バケットは、ログアーカイブアカウントに一元化されます。
+ AWS Config 委任管理者アカウントは Security Tooling アカウントに設定されます。
+ AWS Config には組織アグリゲータが設定されています。アグリゲータにはすべてのリージョンが含まれます。
+ AWS Config コンフォーマンスパックは、委任管理者アカウントからすべてのメンバーアカウントに均一にデプロイされます。
+ AWS Config ルールの検出結果は、Security Hub CSPM に自動的に送信されます。
## Amazon GuardDuty
+ GuardDuty ディテクターは、すべてのメンバーアカウントと管理アカウントで有効になっています。
+ GuardDuty ディテクターはすべてのリージョンで有効になっています。
+ GuardDuty ディテクターは、すべての新しいメンバーアカウントで自動的に有効になります。
+ GuardDuty 委任管理は Security Tooling アカウントに設定されます。
+ CloudTrail 管理イベント、VPC フローログ、Route 53 Resolver DNS クエリログなどの GuardDuty 基盤データソースが有効になっています。
+ GuardDuty S3 Protection が有効になっています。
+ GuardDuty Malware Protection for EBS ボリュームが有効になっています。
+ GuardDuty Malware Protection for S3 が有効になっています。
+ GuardDuty RDS Protection が有効になっています。
+ GuardDuty Lambda Protection が有効になっています。
+ GuardDuty EKS Protection が有効になっています。
+ GuardDuty EKS Runtime Monitoring が有効になっています。
+ GuardDuty 拡張脅威検出が有効になっています。
+ GuardDuty の検出結果は、ログアーカイブアカウントの中央 S3 バケットにエクスポートされ、保持されます。
## IAM
+ IAM ユーザーは使用されません。
+ メンバーアカウントのルートアクセスの一元管理が適用されます。
+ 管理アカウントの一元化された特権ルートユーザータスクは、委任された管理者から適用されます。
+ 一元化されたルートアクセス管理は、Security Tooling アカウントに委任されます。
+ すべてのメンバーアカウントのルート認証情報が削除されます。
+ すべてのメンバーパスワードポリシーと管理 AWS アカウント パスワードポリシーは、組織のセキュリティ標準に従って設定されます。
+ IAM アクセスアドバイザーは、IAM グループ、ユーザー、ロール、ポリシーの最後に使用された情報を確認するために使用されます。
+ アクセス許可の境界は、IAM ロールに対して可能な最大アクセス許可を制限するために使用されます。
## IAM Access Analyzer
+ IAM Access Analyzer は、すべてのメンバーアカウントと管理アカウントで有効になっています。
+ IAM Access Analyzer の委任管理者は Security Tooling アカウントに設定されます。
+ IAM Access Analyzer の外部アクセスアナライザーは、すべてのリージョンで組織の信頼ゾーンで設定されます。
+ IAM Access Analyzer の外部アクセスアナライザーは、すべてのリージョンのアカウント信頼ゾーンで設定されます。
+ IAM Access Analyzer の内部アクセスアナライザーは、すべてのリージョンで組織の信頼ゾーンで設定されます。
+ IAM Access Analyzer の内部アクセスアナライザーは、すべてのリージョンのアカウント信頼ゾーンで設定されます。
+ 現在のアカウントの IAM Access Analyzer 未使用のアクセスアナライザーが作成されます。
+ 現在の組織の IAM Access Analyzer 未使用のアクセスアナライザーが作成されます。
## Amazon Detective
+ Detective はすべてのメンバーアカウントで有効になっています。
+ Detective は、すべての新しいメンバーアカウントで自動的に有効になります。
+ Detective はすべてのリージョンで有効になっています。
+ Detective の委任管理者は Security Tooling アカウントに設定されます。
+ Detective、GuardDuty、および Security Hub CSPM の委任管理者は、同じ Security Tooling アカウントに設定されます。
+ Detective は、未加工ログの保存と分析のために Security Lake と統合されています。
+ Detective は、検出結果を取り込むために GuardDuty と統合されています。
+ Detective は分析のために Amazon EKS 監査ログを取り込んでいます。
+ Detective は、分析のために Security Hub CSPM ログを取り込んでいます。
## AWS Firewall Manager
+ Firewall Manager セキュリティポリシーが設定されています。
+ Firewall Manager の委任管理者は、Security Tooling アカウントに設定されます。
+ AWS Config は前提条件として有効になっています。
+ 複数の Firewall Manager 管理者は、OU、アカウント、リージョンごとに制限されたスコープで設定されます。
+ Firewall Manager AWS WAF セキュリティポリシーが定義されています。
+ Firewall Manager の AWS WAF 集中ログ記録ポリシーが定義されています。
+ Firewall Manager Shield Advanced セキュリティポリシーが定義されています。
+ Firewall Manager セキュリティグループセキュリティポリシーが定義されています。
## Amazon Inspector
+ Amazon Inspector は、すべてのメンバーアカウントで有効になっています。
+ Amazon Inspector は、新しいメンバーアカウントに対して自動的に有効になります。
+ Amazon Inspector の委任管理者は Security Tooling アカウントに設定されます。
+ Amazon Inspector EC2 脆弱性スキャンが有効になっています。
+ Amazon Inspector ECR イメージ脆弱性スキャンが有効になっています。
+ Amazon Inspector Lambda 関数とレイヤーの脆弱性スキャンが有効になっています。
+ Amazon Inspector Lambda コードスキャンが有効になっています。
+ Amazon Inspector コードセキュリティスキャンが有効になっています。
## Amazon Macie
+ Macie は、該当するメンバーアカウントに対して有効になっています。
+ Macie は、該当する新しいメンバーアカウントに対して自動的に有効になります。
+ Macie 委任管理者は Security Tooling アカウントに設定されます。
+ Macie の検出結果は、ログアーカイブアカウントの中央 S3 バケットにエクスポートされます。
+ Macie の検出結果を保存する S3 バケットは、カスタマーマネージドキーで暗号化されます。
+ Macie ポリシーと分類ポリシーは Security Hub CSPM に発行されます。
## Amazon Security Lake
+ Security Lake 組織設定が有効になっています。
+ Security Lake の委任管理者は Security Tooling アカウントに設定されます。
+ Security Lake 組織設定は、新しいメンバーアカウントに対して有効になっています。
+ Security Tooling アカウントは、ログの分析を実行するためのデータアクセスサブスクライバーとして設定されます。
+ Security Tooling アカウントは、ログの分析を実行するためのデータクエリサブスクライバーとして設定されます。
+ CloudTrail 管理ログソースは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ VPC フローログソースは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ Route 53 ログソースは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ S3 ログソースの CloudTrail データイベントは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ Lambda 実行ログソースは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ Amazon EKS 監査ログソースは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ Security Hub の検出結果ログソースは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ AWS WAF ログソースは、すべてまたは指定されたアクティブなメンバーアカウントで Security Lake に対して有効になっています。
+ 委任管理者アカウントの Security Lake SQS キューは、カスタマーマネージドキーで暗号化されます。
+ 委任管理者アカウントの Security Lake SQS デッドレターキューは、カスタマーマネージドキーで暗号化されます。
+ Security Lake S3 バケットは、カスタマーマネージドキーで暗号化されます。
+ Security Lake S3 バケットには、Security Lake による直接アクセスのみを制限するリソースポリシーがあります。
## AWS WAF
+ すべての CloudFront ディストリビューションが関連付けられています AWS WAF。
+ すべての Amazon API Gateway REST APIsが関連付けられています AWS WAF。
+ すべての Application Load Balancer が関連付けられています AWS WAF。
+ すべての AWS AppSync GraphQL APIsが関連付けられています AWS WAF。
+ すべての Amazon Cognito ユーザープールが関連付けられています AWS WAF。
+ すべての AWS App Runner サービスが関連付けられています AWS WAF。
+ すべての AWS Verified Access インスタンスが関連付けられています AWS WAF。
+ すべての AWS Amplify アプリケーションが関連付けられています AWS WAF。
+ AWS WAF ログ記録が有効になっています。
+ AWS WAF ログは、ログアーカイブアカウントの S3 バケットに一元化されます。
## AWS Shield Advanced
+ Shield Advanced サブスクリプションが有効になり、パブリックリソースを持つすべてのアプリケーションアカウントに対して自動更新に設定されます。
+ Shield Advanced は、すべての CloudFront ディストリビューションに対して設定されます。
+ Shield Advanced は、すべての Application Load Balancer に対して設定されます。
+ Shield Advanced は、すべての Network Load Balancer に対して設定されます。
+ Shield Advanced は、すべての Route 53 ホストゾーンに対して設定されます。
+ Shield Advanced は、すべての Elastic IP アドレスに対して設定されます。
+ Shield Advanced は、すべての Global Accelerator に対して設定されます。
+ CloudWatch アラームは、Shield Advanced で保護されている CloudFront リソースと Route 53 リソースに対して設定されます。
+ Shield Response Team (SRT) アクセスが設定されています。
+ Shield Advanced プロアクティブエンゲージメントが有効になっています。
+ Shield Advanced プロアクティブエンゲージメントコンタクトが設定されています。
+ Shield Advanced で保護されたリソースには、カスタム AWS WAF ルールが設定されています。
+ Shield Advanced で保護されたリソースでは、アプリケーションレイヤー DDoS 自動緩和が有効になっています。
## AWS セキュリティインシデント対応
+ AWS セキュリティインシデント対応は組織全体 AWS で有効になっています。
+ AWS Security Incident Response の委任管理者は Security Tooling アカウントに設定されます。
+ プロアクティブレスポンスとアラートのトリアージワークフローが有効になっています。
+ AWS Customer Incident Response Team (CIRT) の封じ込めアクションが承認されます。
## AWS Audit Manager
+ Audit Manager は、すべてのメンバーアカウントで有効になっています。
+ Audit Manager は、新しいメンバーアカウントに対して自動的に有効になります。
+ Audit Manager の委任管理者は、Security Tooling アカウントに設定されます。
+ AWS Config は、Audit Manager の前提条件として有効になっています。
+ カスタマーマネージドキーは、Audit Manager に保存されているデータに使用されます。
+ デフォルトの評価レポートの送信先が設定されています。