Security Hub CSPM コントロールの変更ログ
次の変更ログは、既存の AWS Security Hub CSPM コントロールへの重要な変更を追跡します。これにより、コントロールの全体的なステータスや検出結果のコンプライアンスステータスが変更される可能性があります。Security Hub CSPM がコントロールステータスをどのように評価するかは、「コンプライアンスステータスとコントロールステータスの評価」を参照してください。変更がこのログにエントリされてから、そのコントロールが利用可能なすべての AWS リージョン に反映されるまでに数日かかる場合があります。
このログは、2023 年 4 月以降に発生した変更を追跡します。コントロールを選択して、そのコントロールに関する追加の詳細を確認します。タイトルの変更は、90 日間コントロールの詳細な説明に記載されます。
| 変更日 | コントロール ID とタイトル | 変更点の説明 |
|---|---|---|
| 2025 年 10 月 23 日 | [ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります | Security Hub CSPM は、2025 年 10 月 14 日にこのコントロールのタイトル、説明、およびルールに加えられた変更を元に戻しました。 |
| 2025 年 10 月 22 日 | [CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります | Security Hub CSPM は、このコントロールを更新し、カスタムオリジンを使用する Amazon CloudFront ディストリビューションの検出結果を生成しないようにしました。 |
| 2025 年 10 月 16 日 | [CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります | このコントロールは、Amazon CloudFront ディストリビューションが推奨 TLS セキュリティポリシーを使用するように設定されているかどうかを確認します。Security Hub CSPM は、このコントロールのパラメータ値として |
| 2025 年 10 月 14 日 | [ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります | Security Hub CSPM は、このコントロールのタイトル、説明、およびルールを変更しました。以前は、コントロールは elasticache-redis-cluster-automatic-backup-check ルールを使用して、Redis OSS クラスターとすべてのレプリケーショングループをチェックしていました。コントロールのタイトルは、ElastiCache (Redis OSS) クラスターで自動バックアップを有効にする必要がありますです。 このコントロールは、elasticache-automatic-backup-check-enabled ルールを使用して、Redis OSS クラスターとすべてのレプリケーショングループに加え、Valkey クラスターをチェックするようになりました。新しいタイトルと説明は、コントロールが両方のタイプのクラスターをチェックすることを反映しています。 |
| 2025 年 10 月 5 日 | [Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります | このコントロールのルールが更新され、Amazon OpenSearch Service ドメインに利用可能なソフトウェア更新がなく、更新ステータスが対象外である場合にも |
| 2025 年 9 月 24 日 | [Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください [RedshiftServerless.7] Redshift サーバーレス名前空間では、デフォルトのデータベース名を使用しないでください |
Security Hub CSPM はこれらのコントロールを廃止し、すべての該当する標準からそれらを削除しました。Security Hub CSPM は、コントロールの 以前、このコントロールは、AWS Foundational Security Best Practices (FSBP) 標準とNIST SP 800-53 Rev. 5 標準に適用されていました。Redshift.9 コントロールは、AWS Control Towerサービスマネージド標準にも適用されていました。 |
| 2025 年 9 月 9 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | このコントロールは、AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかを確認します。Security Hub CSPM は、このコントロールのパラメータ値として |
| 2025 年 8 月 13 日 | [SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります | Security Hub CSPM は、このコントロールのタイトルと説明を変更しました。新しいタイトルと説明は、コントロールが Amazon SageMaker AI でホストされているモデルの |
| 2025 年 8 月 13 日 | [EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません | Security Hub CSPM は、このコントロールのタイトルと説明を変更しました。新しいタイトルと説明は、コントロールが実行するチェックの範囲と性質をより正確に反映しています。以前は、このコントロールのタイトルは EFS mount targets should not be associated with a public subnet でした。 |
| 2025 年 7 月 24 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | このコントロールは、Amazon EKS クラスターが、サポートされている Kubernetes バージョンで実行されているかどうかをチェックします。Security Hub CSPM は、このコントロールのパラメータ値を |
| 2025 年 7 月 23 日 | [EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります | Security Hub CSPM は、このコントロールのタイトルを変更しました。新しいタイトルは、このコントロールが起動パラメータを指定する Amazon EC2 スポットフリートリクエストのみをチェックすることをより正確に反映しています。以前は、このコントロールのタイトルは EC2 Spot Fleet requests should enable encryption for attached EBS volumes でした。 |
| 2025 年 6 月 30 日 | [IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します | Security Hub CSPM は、PCI DSS v4.0.1 標準からこのコントロールを削除しました。PCI DSS v4.0.1 では、パスワードに記号を使用することを明示的に要求していません。 |
| 2025 年 6 月 30 日 | [IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します | Security Hub CSPM は、このコントロールを NIST SP 800-171 Revision 2 標準から削除しました。NIST SP 800-171 Revision 2 では、パスワードの有効期限を 90 日以内に設定することを明示的に要求していません。 |
| 2025 年 6 月 30 日 | [RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります | Security Hub CSPM は、このコントロールのタイトルを変更しました。新しいタイトルは、コントロールが Amazon Aurora DB クラスターのみをチェックすることをより正確に反映しています。以前は、このコントロールのタイトルは RDS DB clusters should be configured to copy tags to snapshots でした。 |
| 2025 年 6 月 30 日 | [SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります | このコントロールは、Amazon SageMaker AI ノートブックインスタンスに指定されたプラットフォーム識別子に基づいて、ノートブックインスタンスがサポートされているプラットフォームで実行されるように設定されているかどうかチェックします。Security Hub CSPM は、このコントロールのパラメータ値として |
| 2025 年 5 月 30 日 | [IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です | Security Hub CSPM は、PCI DSS v4.0.1 標準からこのコントロールを削除しました。このコントロールは、IAM ユーザーのアカウントパスワードポリシーが、パスワードの最小長 7 文字を含む最小要件を満たしているかどうかをチェックします。PCI DSS v4.0.1 では、8 文字以上のパスワードが必要です。このコントロールは、異なるパスワード要件を持つ PCI DSS v3.2.1 標準に引き続き適用されます。 PCI DSS v4.0.1 の要件に照らしてアカウントのパスワードポリシーを評価するには、IAM.7 コントロールを使用できます。このコントロールでは、8 文字以上のパスワードが必要です。また、パスワードの長さやその他のパラメータのカスタム値もサポートしています。IAM.7 コントロールは、Security Hub CSPM における PCI DSS v4.0.1 標準の一部です。 |
| 2025 年 5 月 8 日 | [RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません | Security Hub CSPM は、すべての AWS リージョン で RDS.46 コントロールのリリースをロールバックしました。以前は、このコントロールは AWS Foundational Security Best Practices (FSBP) 標準をサポートしていました。 |
| 2025 年 4 月 7 日 | [ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。 | このコントロールは、Application Load Balancer 用の HTTPS リスナーまたは Network Load Balancer 用の TLS リスナーが、推奨されるセキュリティポリシーを使用して転送中のデータを暗号化するように設定されているかどうかをチェックします。Security Hub CSPM は、このコントロールで |
| 2025 年 3 月 27 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | このコントロールは、AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかを確認します。Security Hub CSPM で、このコントロールのパラメータ値として |
| 2025 年 3 月 26 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。 |
| 2025 年 3 月 10 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | このコントロールは、AWS Lambda 関数のランタイム設定が、各言語でサポートされているランタイムの期待値と一致するかどうかを確認します。Security Hub CSPM は、このコントロールのパラメータ値として |
| 2025 年 3 月 7 日 | [RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります | Security Hub CSPM は、このコントロールを AWS Foundational Security Best Practices 標準から削除し、NIST SP 800-53 Rev. 5 標準のチェックを自動化しました。Amazon EC2-Classic ネットワークが廃止されたため、Amazon Relational Database Service (Amazon RDS) インスタンスを VPC の外部にデプロイできなくなりました。コントロールは引き続き AWS Control Tower サービスマネージド標準の一部です。 |
| 2025 年 1 月 10 日 | [Glue.2] AWS Glue ジョブではログ記録が有効になっている必要があります | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。 |
| 2024 年 12 月 20 日 | EC2.61~EC2.169 | Security Hub CSPM は、EC2.61 から EC2.169 までのコントロールのリリースをロールバックしました。 |
| 2024 年 12 月 12 日 | [RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります | RDS.23 は、Amazon Relational Database Service (Amazon RDS) クラスターまたはインスタンスがデータベースエンジンのデフォルトポート以外のポートを使用しているかどうかをチェックします。コントロールを更新し、基盤となる AWS Config ルールがクラスターの一部である RDS インスタンスに対して NOT_APPLICABLE の結果を返すようにしました。 |
| 2024 年 12 月 2 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして nodejs22.x がサポートされるようになりました。 |
| 2024 年 11 月 26 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。現在、サポートされている最も古いバージョンは 1.29 です。 |
| 2024 年 11 月 20 日 | [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | Config.1 は、AWS Config が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub CSPM は、このコントロールの重要度を Config.1 の |
| 2024 年 11 月 12 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして python3.13 がサポートされるようになりました。 |
| 2024 年 10 月 11 日 | ElastiCache コントロール | ElastiCache.3、ElastiCache.4、ElastiCache.5、および ElastiCache.7 のコントロールのタイトルを変更しました。コントロールは ElastiCache for Valkey にも適用されるため、タイトルは Redis OSS で言及されなくなりました。 |
| 2024 年 9 月 27 日 | [ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります | タイトルを「Application Load Balancer は、httpヘッダーを削除するように設定する必要があります」から「Application Load Balancer は無効な http ヘッダーを削除するように設定する必要があります」に変更しました。 |
| 2024 年 8 月 19 日 | DMS.12 および ElastiCache コントロールのタイトルの変更 | DMS.12 および ElastiCache.1 から ElastiCache.7 までのコントロールのタイトルを変更しました。Amazon ElastiCache (Redis OSS) サービスの名前変更を反映するように、これらのタイトルを変更しました。 |
| 2024 年 8 月 15 日 | [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | Config.1 は、AWS Config が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub CSPM は、includeConfigServiceLinkedRoleCheck という名前のカスタムコントロールパラメータを追加しました。このパラメータを false に設定することで、AWS Config がサービスにリンクされたロールを使用するかどうかの確認をオプトアウトできます。 |
| 2024 年 7 月 31 日 | [IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります | コントロールのタイトルを「AWS IoT Core セキュリティプロファイルにタグ付けする必要があります」から「AWS IoT Device Defender セキュリティプロファイルにタグ付けする必要があります」に変更しました。 |
| 2024 年 7 月 29 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして nodejs16.x がサポートされなくなりました。 |
| 2024 年 7 月 29 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。サポートされている最も古いバージョンは 1.28 です。 |
| 2024 年 6 月 25 日 | [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | このコントロールは、AWS Config が有効になっているかどうかをチェックし、サービスにリンクされたロールを使用し、有効なコントロールのリソースを記録します。Security Hub CSPM は、コントロールの評価を反映するようにコントロールのタイトルを更新しました。 |
| 2024 年 6 月 14 日 | [RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります | このコントロールは、Amazon Aurora MySQL DB クラスターが監査ログを Amazon CloudWatch Logs に発行するように設定されているかどうかをチェックします。Security Hub CSPM は、Aurora Serverless v1 DB クラスターの検出結果を生成しないようにコントロールを更新しました。 |
| 2024 年 6 月 11 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されるかどうかをチェックします。サポートされている最も古いバージョンは 1.27 です。 |
| 2024 年 6 月 10 日 | [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | このコントロールは、AWS Config が有効で、AWS Config リソース記録が有効になっているかどうかを確認します。以前は、コントロールは、すべてのリソースに対して記録を設定した場合のみ PASSED 検出結果を生成していました。Security Hub CSPM は、有効なコントロールに必要なリソースの記録が有効になっているときに PASSED 検出結果を生成するようにコントロールを更新しました。コントロールも更新され、AWS Config サービスにリンクされたロールが使用されているかどうかが確認されました。これにより、必要なリソースを記録するアクセス許可が付与されます。 |
| 2024 年 5 月 8 日 | [S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります | このコントロールは、Amazon S3 の汎用バージョンバケットで多要素認証 (MFA) 削除が有効になっているかどうかをチェックします。以前は、コントロールはライフサイクル設定を持つバケットの FAILED 検出結果を生成していました。ただし、ライフサイクル設定を持つバケットでは、バージョニングによる MFA 削除を有効にすることはできません。Security Hub CSPM は、ライフサイクル設定を持つバケットの検出結果を生成しないようにコントロールを更新しました。コントロールの説明は、現在の動作を反映して更新されました。 |
| 2024 年 5 月 2 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | Security Hub CSPM は、Amazon EKS クラスターが成功の検出結果を生成するために実行できる Kubernetes のサポートされている最も古いバージョンを更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.26 です。 |
| 2024 年 4 月 30 日 | [CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | コントロールのタイトルを「CloudTrail を有効にする必要があります」から「少なくとも 1 つの CloudTrail 証跡を有効にする必要があります」に変更しました。このコントロールは現在、AWS アカウント で少なくとも 1 つの CloudTrail 証跡が有効になっている場合に PASSED 検出結果を生成します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 4 月 29 日 | [AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある | コントロールのタイトルを「Classic Load Balancer に関連付けられた Auto Scaling グループはロードバランサーのヘルスチェックを使用する必要があります」から「ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要があります」に変更しました。このコントロールは現在、アプリケーション、ゲートウェイ、ネットワーク、Classic Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 4 月 19 日 | [CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。 | コントロールは、AWS CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をされているかどうかをチェックします 以前は、アカウントで CloudTrail が有効で、少なくとも 1 つのマルチリージョン証跡が設定されていると、証跡がキャプチャされた読み取りおよび書き込み管理イベントがない場合でも、コントロールは誤って PASSED 検出結果を生成していました。コントロールは、CloudTrail が有効で、読み取りおよび書き込み管理イベントをキャプチャする少なくとも 1 つのマルチリージョン証跡で設定されている場合にのみ、PASSED 検出結果を生成するようになりました。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena ワークグループは、保管中に暗号化する必要があります | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Athena ワークグループは、Amazon Simple Storage Service (Amazon S3) バケットにログを送信します。Amazon S3 では、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。 |
| 2024 年 4 月 10 日 | [AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのメタデータ応答ホップ制限はワークロードによって異なります。 |
| 2024 年 4 月 10 日 | [CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。AWS CloudFormation スタックを Amazon SNS トピックと統合することは、もはやセキュリティのベストプラクティスではありません。重要な CloudFormation スタックを SNS トピックと統合することは便利ですが、すべてのスタックに必要というわけではありません。 |
| 2024 年 4 月 10 日 | [CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。CodeBuild プロジェクトで特権モードを有効にしても、顧客環境に追加のリスクは課されません。 |
| 2024 年 4 月 10 日 | [IAM.20] ルートユーザーの使用を避けます | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。このコントロールの目的は、別のコントロール [CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります でカバーされています。 |
| 2024 年 4 月 10 日 | [SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。SNS トピックの配信ステータスのログ記録は、もはやセキュリティのベストプラクティスではありません。重要な SNS トピックの配信ステータスのログ記録は便利ですが、すべてのトピックに必要というわけではありません。 |
| 2024 年 4 月 10 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | Security Hub CSPM はこのコントロールを AWS Foundational Security Best Practices および Service-Managed Standard: AWS Control Tower から削除しました。このコントロールの目的は、[S3.13] S3 汎用バケットにはライフサイクル設定が必要です と [S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります の 2 つの他のコントロールでカバーされています。このコントロールは依然として NIST SP 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 10 日 | [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります | Security Hub CSPM はこのコントロールを AWS Foundational Security Best Practices および Service-Managed Standard: AWS Control Tower から削除しました。S3 バケットのイベント通知が役立つ場合もありますが、これは一般的なセキュリティのベストプラクティスではありません。このコントロールは依然として NIST SP 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 10 日 | [SNS.1] SNS トピックは、AWS KMS を使用して保管中に暗号化する必要があります。 | Security Hub CSPM はこのコントロールを AWS Foundational Security Best Practices および Service-Managed Standard: AWS Control Tower から削除しました。デフォルトでは、SNS はディスク暗号化を使用して保管中のトピックを暗号化します。詳細については、「データの暗号化」を参照してください。AWS KMS を使用してトピックを暗号化することは、セキュリティのベストプラクティスとして推奨されなくなりました。このコントロールは依然として NIST SP 800-53 Rev. 5 の一部です。 |
| 2024 年 4 月 8 日 | [ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります | コントロールのタイトルを「Application Load Balancer の削除保護を有効化する必要があります」から「アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護が有効になっている必要があります」に変更しました。このコントロールは現在、アプリケーション、ゲートウェイ、Network Load Balancer を評価します。現在の動作を正確に反映するように、タイトルと説明が変更されました。 |
| 2024 年 3 月 22 日 | [Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります | コントロールのタイトルを「OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります」から「OpenSearch ドメインへの接続は最新の TLS セキュリティポリシー を使用して暗号化する必要があります」に変更しました。以前は、コントロールは OpenSearch ドメインへの接続で TLS 1.2 が使用されたかどうかのみを確認していました。コントロールは、OpenSearch ドメインが最新の TLS セキュリティポリシーを使用して暗号化されている場合に PASSED 検出結果を生成するようになりました。コントロールのタイトルと説明は、現在の動作を反映して更新されました。 |
| 2024 年 3 月 22 日 | [ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります | コントロールのタイトルを「Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります」から「Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシー を使用して暗号化する必要があります」に変更しました。以前は、コントロールは Elasticsearch ドメインへの接続で TLS 1.2 が使用されたかどうかのみを確認していました。コントロールは、Elasticsearch ドメインが最新の TLS セキュリティポリシーを使用して暗号化されている場合に PASSED 検出結果を生成するようになりました。コントロールのタイトルと説明は、現在の動作を反映して更新されました。 |
| 2024 年 3 月 12 日 | [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。 | タイトルを「S3 パブリックアクセスブロック設定を有効にする必要があります」から「S3 汎用バケットではパブリックアクセスブロック設定を有効にする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります | タイトルを「S3 バケットはパブリック読み取りアクセスを禁止する必要があります」から「S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。 | タイトルを「S3 バケットではパブリック書き込みアクセスを禁止する必要があります」から「S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。 | タイトルを「S3 バケットでは Secure Socket Layer を使用するリクエストが必要です」から「S3 汎用バケットでは SSL を使用するリクエストが必要です」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.6] S3 汎用バケットポリシーは、他の AWS アカウント へのアクセスを制限する必要があります | タイトルを「バケットポリシーで他の AWS アカウント に付与される S3 アクセス許可を制限する必要があります」から「S3 汎用バケットポリシーは他の AWS アカウント へのアクセスを制限する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります | タイトルを「S3 バケットではクロスリージョンレプリケーションが有効になっている必要があります」から「S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります | タイトルを「S3 バケットではクロスリージョンレプリケーションが有効になっている必要があります」から「S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります | タイトルを「S3 パブリックアクセスブロック設定はバケットレベルで有効にする必要があります」から「S3 汎用バケットはパブリックアクセスをブロックする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります | タイトルを「S3 バケットサーバーのアクセスログ記録を有効にする必要があります」から「S3 汎用バケット のサーバーアクセスログ記録を有効にする必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | タイトルを「バージョニングが有効になっている S3 バケットはライフサイクルポリシーを設定する必要があります」から「バージョニングが有効になっている S3 汎用バケットはライフサイクルポリシーを設定する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります | タイトルを「S3 バケットではイベント通知が有効になっている必要があります」から「S3 汎用バケットではイベント通知が有効になっている必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。 | タイトルを「S3 アクセスコントロールリスト (ACLs) はバケットへのユーザーアクセスを管理するのに使用しないでください」から「ACLs へのユーザーアクセスは S3 汎用バケット へのユーザーアクセスを管理するために使用しないでください」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.13] S3 汎用バケットにはライフサイクル設定が必要です | タイトルを「S3 バケットはライフサイクルポリシーをから設定する必要があります」から「S3 汎用バケットはライフサイクル設定する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります | タイトルを「S3 バケットはバージョニングを使用する必要があります」から「S3 汎用バケットでバージョニングが有効になっている必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります | タイトルを「S3 バケットは Object Lock を使用するように設定する必要があります」から「S3 汎用バケットでは Object Lock が有効になっている必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 12 日 | [S3.17] S3 汎用バケットは、保管中に AWS KMS keys で暗号化する必要があります | タイトルを「S3 バケットを保管時に AWS KMS keys で暗号化する必要があります」から「S3 汎用バケットを保管時に AWS KMS keys で暗号化する必要があります」に変更しました。Security Hub CSPM は、新しい S3 バケットタイプを考慮してタイトルを変更しました。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして nodejs20.x および ruby3.3 がサポートされるようになりました。 |
| 2024 年 2 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして dotnet8 がサポートされるようになりました。 |
| 2024 年 2 月 5 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | Security Hub CSPM は、Amazon EKS クラスターが成功の検出結果を生成するために実行できる Kubernetes のサポートされている最も古いバージョンを更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.25 です。 |
| 2024 年 1 月 10 日 | [CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください | タイトルを「CodeBuild GitHub または Bitbucket のソースリポジトリの URL は OAuth を使用する必要があります」から「CodeBuild Bitbucket ソースリポジトリ URL に機密認証情報 を含めないでください」に変更しました。Security Hub CSPM は、他の接続方法も安全であるため、OAuth に関する言及を削除しました。Security Hub CSPM は GitHub のソースリポジトリの URL に個人用アクセストークンまたはユーザー名とパスワードを持つことができなくなったため、GitHub の言及を削除しました。 |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。廃止されたランタイムであるため、Security Hub CSPM ではパラメータとして go1.x および java8 がサポートされなくなりました。 |
| 2023 年 12 月 29 日 | [RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります | RDS.8 は、サポートされているデータベースエンジンのいずれかを使用する Amazon RDS DB インスタンスで削除保護が有効になっているかどうかをチェックします。Security Hub CSPM では custom-oracle-ee、oracle-ee-cdb、および oracle-se2-cdb がデータベースエンジンとしてサポートされるようになりました。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして java21 および python3.12 がサポートされるようになりました。Security Hub CSPM では、パラメータとして ruby2.7 がサポートされなくなりました。 |
| 2023 年 12 月 15 日 | [CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります | CloudFront.1 は、Amazon CloudFront ディストリビューションにデフォルトルートオブジェクトが設定されているかどうかを確認します。Security Hub CSPM では、このコントロールの重大度が CRITICAL から HIGH に下げられました。これは、デフォルトルートオブジェクトを追加することがユーザーのアプリケーションと特定の要件に依存する推奨事項であるためです。 |
| 2023 年 12 月 5 日 | [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 22 へのイングレスは許可しない必要があります」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 22 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | [EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります | コントロールタイトルが「セキュリティグループでは 0.0.0.0/0 からポート 3389 へのイングレスは許可されないことを確認します」から「セキュリティグループでは 0.0.0.0/0 または ::/0 からポート 3389 へのイングレスは許可しない必要があります」に変更されました。 |
| 2023 年 12 月 5 日 | [RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります | コントロールタイトルが「データベースのログ記録を有効にする必要があります」から「RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります」に変更されました。Security Hub CSPM では、このコントロールはログが Amazon CloudWatch Logs に発行されているかどうかのみをチェックし、RDS ログが有効になっているかどうかはチェックしません。RDS DB インスタンスが CloudWatch Logs にログを発行するように設定されている場合、このコントロールは PASSED 検出結果を生成します。コントロールタイトルは、現在の動作を反映して更新されました。 |
| 2023 年 12 月 5 日 | [EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります | このコントロールは、Amazon EKS クラスターで監査ログ記録が有効になっているかどうかをチェックします。Security Hub CSPM がこのコントロールを評価するために使用する AWS Config ルールが eks-cluster-logging-enabled から eks-cluster-log-enabled に変更されました。 |
| 2023 年 11 月 17 日 | [EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません | EC2.19 は、指定した高リスクと見なされるポートにセキュリティグループの無制限の受信トラフィックがアクセス可能かどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります | コントロールタイトルが「CloudWatch アラームには ALARM 状態用に設定されたアクションが必要です」から、「CloudWatch アラームには、指定されたアクションが設定されている必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります | コントロールタイトルが「CloudWatch ロググループは少なくとも 1 年間保持する必要があります」から「CloudWatch ロググループは指定された期間保持する必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります | コントロールタイトルが「VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります」から「VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | [AppSync.2] AWS AppSync はフィールドレベルのログ記録を有効にする必要があります | コントロールタイトルが「AWS AppSyncは、リクエストレベルとフィールドレベルのログ記録をオンにする必要があります」から「AWS AppSync はフィールドレベルのログ記録を有効にする必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります | コントロールタイトルが「Amazon Elastic MapReduce クラスターマスターノードは、パブリック IP アドレスを未設定にする必要があります」から「Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります | コントロールタイトルが「OpenSearch ドメインは VPC 内に含まれている必要があります」から「OpenSearch ドメインがパブリックにアクセスできないようにする必要があります」に変更されました。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | コントロールタイトルが「Elasticsearch ドメインは VPC 内に含まれている必要があります」から「Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります」に変更されました。 |
| 2023 年 10 月 31 日 | [ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります | ES.4 は Elasticsearch ドメインが、Amazon CloudWatch Logs にエラーログを送信するように設定されているかどうかを確認します。このコントロールは以前、CloudWatch Logs に送信するように設定されているログを含む Elasticsearch ドメインの PASSED 検出結果を生成していました。Security Hub CSPM は、CloudWatch Logs にエラーログを送信するように設定された Elasticsearch ドメインのみの PASSED 検出結果を生成するようにコントロールを更新しました。コントロールも更新され、エラーログをサポートしない Elasticsearch バージョンを評価から除外するようになりました。 |
| 2023 年 10 月 16 日 | [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります | EC2.13 は、セキュリティグループがポート 22 への無制限のイングレスアクセスを許可しているかどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります | EC2.14 は、セキュリティグループがポート 3389 への無制限のイングレスアクセスを許可しているかどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします | EC2.18 は、使用中のセキュリティグループが、無制限の受信トラフィックを許可しているかどうかをチェックします。Security Hub CSPM では、セキュリティグループルールのソースとして提供される場合、マネージド型プレフィックスリストを考慮するようにこのコントロールが更新されました。コントロールは、プレフィックスリストに文字列「0.0.0.0/0」または「::/0」が含まれている場合、FAILED 検出結果を生成します。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして python3.11 がサポートされるようになりました。 |
| 2023 年 10 月 4 日 | [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります | Security Hub CSPM は、S3 CROSS-REGION バケットで同じリージョンのレプリケーションではなくクロスリージョンレプリケーションを有効にするために、ReplicationType という値を持つパラメータが追加されました。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | Security Hub CSPM は、Amazon EKS クラスターが成功の検出結果を生成するために実行できる Kubernetes のサポートされている最も古いバージョンを更新しました。現在サポートされている最も古いバージョンは Kubernetes 1.24 です。 |
| 2023 年 9 月 20 日 | [CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。代わりに、「[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります」を参照してください。オリジンのアクセスコントロールは、現在のセキュリティのベストプラクティスです。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | [EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします | Security Hub CSPM は、このコントロールを、AWS 基礎セキュリティのベストプラクティス (FSBP) および米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 から削除しました。AWS Control Tower は、引き続きサービスマネージド標準に含まれます。この コントロールでは、セキュリティグループが EC2 インスタンス、または Elastic Network Interface にアタッチされている場合に、合格の検出結果を生成します。ただし、特定のユースケースでは、セキュリティグループがアタッチされていなくてもセキュリティ上のリスクはありません。他の EC2 コントロール (EC2.2、EC2.13、EC2.14、EC2.18、EC2.19 など) を使用すると、セキュリティグループをモニタリングできます。 |
| 2023 年 9 月 20 日 | [EC2.29] EC2 インスタンスは VPC で起動することをお勧めします | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Amazon EC2 では、EC2-Classic インスタンスが VPC に移行されました。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 20 日 | [S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります | Security Hub CSPM はこのコントロールを廃止し、すべての標準から削除しました。Amazon S3 では、新規および既存の S3 バケットで S3 マネージドキー (SS3-S3) によるデフォルトの暗号化を提供するようになりました。SS3-S3 または SS3-KMS のサーバー側の暗号化を使用して暗号化された既存のバケットの場合、暗号化設定は変更されません。このコントロールは 90 日後にドキュメントから削除されます。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします | コントロールタイトルを「VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックを許可しないようにする必要があります」から「VPC のデフォルトのセキュリティグループ (複数可) では、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | [IAM.9] ルートユーザーに対して MFA を有効にする必要があります | コントロールタイトルを「ルートユーザーに対して仮想 MFA を有効にする必要があります」から「ルートユーザーに対して MFA を有効にする必要があります」に変更しました。 |
|
2023 年 9 月 14 日 |
[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります | コントロールタイトルを「重大なクラスターイベントについて、RDS イベント通知のサブスクリプションを設定する必要があります」から「重大なクラスターイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | [RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります | コントロールタイトルを「重大なデータベースインスタンスイベントに対して RDS イベント通知サブスクリプションを設定する必要があります」から「重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.2] AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です | コントロールタイトルを「WAF リージョンルールには、1 つ以上の条件が必要です」から「AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.3] AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です | コントロールタイトルを「WAF リージョンルールグループには、1 つ以上の条件が必要です」から「AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.4] AWS WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です | コントロールタイトルを「WAF リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.6] AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です | コントロールタイトルを「WAF グローバルルールには、1 つ以上の条件が必要です」から「AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.7] AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です | コントロールタイトルを「WAF グローバルルールグループには、1 つ以上の条件が必要です」から「AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.8] AWS WAF Classic グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です | コントロールタイトルを「WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF Classic グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.10] AWS WAF ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です | コントロールタイトルを「WAFv2 ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」から「AWS WAF ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です」に変更しました。 |
| 2023 年 9 月 14 日 | [WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります | コントロールタイトルを「AWS WAFv2 ウェブ ACL ログ記録を有効にする必要があります」から「AWS WAF ウェブ ACL ログ記録を有効にする必要があります」に変更しました。 |
|
2023 年 7 月 20 日 |
[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります | S3.4 は、Amazon S3 バケットでサーバー側の暗号化が有効になっているか、または S3 バケットポリシーでサーバー側の暗号化なしの PutObject リクエストを明示的に拒否しているかどうかをチェックします。Security Hub CSPM はこのコントロールを更新し、KMS キーによる二層式サーバー側の暗号化 (DSSE-KMS) を追加しました。S3 バケットが SSE-S3、SSE-KMS、または DSSE-KMS で暗号化されている場合、このコントロールは合格の検出結果を生成します。 |
| 2023 年 7 月 17 日 | [S3.17] S3 汎用バケットは、保管中に AWS KMS keys で暗号化する必要があります | S3.17 は Amazon S3 バケットが AWS KMS key で暗号化されているかどうかをチェックします。Security Hub CSPM はこのコントロールを更新し、KMS キーによる二層式サーバー側の暗号化 (DSSE-KMS) を追加しました。S3 バケットが SSE-KMS または DSSE-KMS で暗号化されている場合、このコントロールは合格の検出結果を生成します。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | EKS.2 は、Amazon EKS クラスターがサポートされている Kubernetes バージョンで実行されているかどうかをチェックします。サポートされている最も古いバージョンは現在のところ、1.23 です。 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして ruby3.2 がサポートされるようになりました。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります | APIGateway.5.は、Amazon API Gateway REST API ステージのすべてのメソッドが保存時に暗号化されているかどうかをチェックします。Security Hub CSPM を更新し、特定のメソッドのキャッシュが有効になっている場合にのみ、そのメソッドの暗号化を評価するようにしました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして java17 がサポートされるようになりました。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして nodejs12.x がサポートされなくなりました。 |
| 2023 年 4 月 23 日 | [ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。 | ECS.10 は、Amazon ECS Fargate サービスが最新の Fargate プラットフォームバージョンで実行されているかどうかをチェックします。お客様は ECS を通じて直接、または CodeDeploy を使用して Amazon ECS をデプロイできます。Security Hub CSPM では、このコントロールが更新され、CodeDeploy を使用して ECS Fargate サービスをデプロイすると [成功] という検出結果が表示されるようになりました。 |
| 2023 年 4 月 20 日 | [S3.6] S3 汎用バケットポリシーは、他の AWS アカウント へのアクセスを制限する必要があります | S3.6 は、S3 バケット内のリソースに対する拒否されたアクションを別の AWS アカウント のプリンシパルが実行しないように、Amazon Simple Storage Service (Amazon S3) バケットポリシーが制限しているかどうかをチェックします。Security Hub CSPM では、このコントロールが更新され、バケットポリシーの条件を考慮するようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして python3.10 がサポートされるようになりました。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります | Lambda.2 は、ランタイムの AWS Lambda 関数設定が、各言語のサポートされているランタイムに設定されている期待値と一致することをチェックします。Security Hub CSPM では、パラメータとして dotnetcore3.1 がサポートされなくなりました。 |
| 2023 年 4 月 17 日 | [RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります | RDS.11 は、Amazon RDS インスタンスで自動バックアップが有効になっているかどうか、およびバックアップ保持期間が 7 日以上であるかどうかをチェックします。Security Hub CSPM では、このコントロールが更新され、リードレプリカを評価から除外するようになりました。すべてのエンジンがリードレプリカの自動バックアップをサポートしているわけではないためです。また、RDS には、リードレプリカの作成時にバックアップ保持期間を指定するオプションはありません。リードレプリカは、デフォルトでバックアップ保持期間 0 で作成されます。 |
