Amazon Cognito の Security Hub CSPM コントロール - AWSSecurity Hub
[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Cognito の Security Hub CSPM コントロール

これらのAWS Security Hub CSPMコントロールは、Amazon Cognito サービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Cognito.1] Cognito ユーザープールでは、標準認証のフル機能強制モードで脅威保護を有効にする必要があります

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ : AWS::Cognito::UserPool

AWS Config ルール : cognito-user-pool-advanced-security-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 タイプ 許可されているカスタム値 Security Hub CSPM のデフォルト値

SecurityMode

コントロールがチェックする脅威保護の強制適用モード。

String

AUDIT, ENFORCED

ENFORCED

このコントロールは、Amazon Cognito ユーザープールで、標準認証のフル機能に強制モードが設定された状態で脅威保護が有効になっているかどうかをチェックします。ユーザープールで脅威保護が無効になっている場合、または標準認証のフル機能に強制モードが設定されていない場合、コントロールは失敗します。カスタムパラメータ値を指定しない限り、Security Hub CSPM はエンフォースメントモードENFORCEDにデフォルト値の を使用し、標準認証にはフル関数に設定されます。

Amazon Cognito ユーザープールを作成したら、脅威保護をアクティブ化し、さまざまなリスクに応じて実行されるアクションをカスタマイズできます。また、監査モードを使用して、セキュリティ緩和策を適用せずに、検出されたリスクに関するメトリクスを収集できます。監査モードでは、脅威保護は Amazon CloudWatch にメトリクスを発行します。Amazon Cognito が最初のイベントを生成した後にメトリクスを確認できます。

修正

Amazon Cognito ユーザープールの脅威保護のアクティブ化については、「Amazon Cognito デベロッパーガイド」の「Advanced security with threat protection」を参照してください。

[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと

カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証

重要度:

リソースタイプ : AWS::Cognito::IdentityPool

AWS Config ルール : cognito-identity-pool-unauth-access-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Cognito アイデンティティプールが認証されていない ID を許可するように設定されているかどうかをチェックします。ゲストアクセスがアクティブ化されている場合 (AllowUnauthenticatedIdentitiesパラメータが true に設定されている場合)、アイデンティティプールに対してコントロールは失敗します。

Amazon Cognito ID プールで認証されていない ID が許可されている場合、ID プールは ID プロバイダー (ゲスト) を介して認証されていないユーザーに一時的なAWS認証情報を提供します。これにより、AWSリソースへの匿名アクセスが許可されるため、セキュリティリスクが発生します。ゲストアクセスを非アクティブ化すると、適切に認証されたユーザーのみがAWSリソースにアクセスできるため、不正アクセスや潜在的なセキュリティ違反のリスクが軽減されます。ベストプラクティスとして、アイデンティティプールは、サポートされている ID プロバイダーによる認証を必要とするよう設定してください。認証されていないアクセスが必要な場合は、認証されていない ID のアクセス許可を慎重に制限し、その使用状況を定期的にレビューおよびモニタリングすることが重要です。

修正

Amazon Cognito アイデンティティプールのゲストアクセスを無効にする方法については、「Amazon Cognito デベロッパーガイド」の「Activate or deactivate guest access」を参照してください。

[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ : AWS::Cognito::UserPool

AWS Config ルール : cognito-user-pool-password-policy-check

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 タイプ 許可されているカスタム値 Security Hub CSPM のデフォルト値

minLength

 パスワードの最小必要文字数。 整数

8128

8

requireLowercase

 パスワードには少なくとも 1 つの小文字が必要です。 ブール値

True, False

True

requireUppercase

 パスワードには少なくとも 1 つの大文字が必要です。 ブール値

True, False

True

requireNumbers

 パスワードには少なくとも 1 つの数字が必要です。 ブール値

True, False

True

requireSymbols

 パスワードには少なくとも 1 つの記号が必要です。 ブール値

True, False

True

temporaryPasswordValidity

 パスワードの有効期限が切れるまでの最大使用可能日数。 整数

7365

7

このコントロールは、Amazon Cognito ユーザープールのパスワードポリシーが、パスワードポリシーの推奨設定に基づく強力なパスワードの使用を義務付けているかどうかを確認します。ユーザープールのパスワードポリシーが強力なパスワードの使用を義務付けていない場合、コントロールは失敗します。オプションで、コントロールがチェックするポリシー設定のカスタム値を指定できます。

強力なパスワードの使用は、Amazon Cognito ユーザープールのセキュリティのためのベストプラクティスです。パスワードが弱いと、パスワードを推測してデータにアクセスしようとするシステムにユーザーの認証情報が漏洩する可能性があります。これは特に、インターネットに公開されているアプリケーションの場合に当てはまります。パスワードポリシーは、ユーザーディレクトリのセキュリティの中心的な要素です。パスワードポリシーを使用することで、自組織のセキュリティ標準や要件に応じたパスワードの複雑度やその他の設定を義務付けするようにユーザープールを構成できます。

修正

Amazon Cognito ユーザープールのパスワードポリシーの作成または更新の詳細については、「Amazon Cognito デベロッパーガイド」の「Adding user pool password requirements」を参照してください。

[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ : AWS::Cognito::UserPool

AWS Config ルール : cognito-userpool-cust-auth-threat-full-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Cognito ユーザープールで脅威保護が有効になっているかどうかをチェックし、エンフォースメントモードをカスタム認証の完全な 関数に設定します。ユーザープールで脅威保護が無効になっている場合、またはカスタム認証の強制モードがフル関数に設定されていない場合、コントロールは失敗します。

脅威保護 (以前は高度なセキュリティ機能と呼ばれていました) は、ユーザープール内の望ましくないアクティビティをモニタリングするツールと、潜在的に悪意のあるアクティビティを自動的にシャットダウンする設定ツールのセットです。Amazon Cognito ユーザープールを作成したら、カスタム認証用のフル関数強制モードで脅威保護をアクティブ化し、さまざまなリスクに応じて実行されるアクションをカスタマイズできます。フル機能モードには、不要なアクティビティや侵害されたパスワードを検出するための一連の自動リアクションが含まれています。

修正

Amazon Cognito ユーザープールの脅威保護のアクティブ化については、「Amazon Cognito デベロッパーガイド」の「Advanced security with threat protection」を参照してください。

[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります

カテゴリ: 保護 > 安全なアクセス管理 > 多要素認証

重要度:

リソースタイプ : AWS::Cognito::UserPool

AWS Config ルール : cognito-user-pool-mfa-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、パスワードのみのサインインポリシーで設定された Amazon Cognito ユーザープールで多要素認証 (MFA) が有効になっているかどうかを確認します。パスワードのみのサインインポリシーで設定されたユーザープールで MFA が有効になっていない場合、コントロールは失敗します。

多要素認証 (MFA) は、既知の要素 (通常はユーザー名とパスワード) に認証要素を持つものを追加します。フェデレーティッドユーザーの場合、Amazon Cognito は認証を ID プロバイダー (IdP) に委任し、追加の認証要素を提供しません。ただし、パスワード認証を使用するローカルユーザーがいる場合、ユーザープールに MFA を設定するとセキュリティが向上します。

注記

このコントロールは、フェデレーティッドユーザーおよびパスワードレス要素でサインインするユーザーには適用されません。

修正

Amazon Cognito ユーザープールの MFA を設定する方法については、Amazon Cognito デベロッパーガイド」の「ユーザープールへの MFA の追加」を参照してください。

[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります

カテゴリ: 保護 > データ保護 > データ削除保護

重要度:

リソースタイプ : AWS::Cognito::UserPool

AWS Config ルール : cognito-user-pool-deletion-protection-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Cognito ユーザープールで削除保護が有効になっているかどうかを確認します。ユーザープールの削除保護が無効になっている場合、コントロールは失敗します。

削除保護は、ユーザープールが誤って削除されないようにするのに役立ちます。削除保護を使用してユーザープールを設定すると、どのユーザーもプールを削除することはできません。削除保護では、最初にプールを変更して削除保護を非アクティブ化しない限り、ユーザープールの削除をリクエストすることはできません。

修正

Amazon Cognito ユーザープールの削除保護を設定するには、Amazon Cognito デベロッパーガイド」の「ユーザープールの削除保護」を参照してください。