ElastiCache の Security Hub コントロール - AWS Security Hub
[ElastiCache.1] ElastiCache (Valkey および Redis OSS) クラスターでは、自動バックアップを有効にする必要があります[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ElastiCache の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon ElastiCache サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[ElastiCache.1] ElastiCache (Valkey および Redis OSS) クラスターでは、自動バックアップを有効にする必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度:

リソースタイプ: AWS::ElastiCache::CacheClusterAWS:ElastiCache:ReplicationGroup

AWS Config ルール : elasticache-automatic-backup-check-enabled

スケジュールタイプ : 定期的

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

snapshotRetentionPeriod

最小スナップショット保持期間 (日数)

整数

135

1

このコントロールは、Amazon ElastiCache (Valkey または Redis OSS) クラスターで自動バックアップが有効になっているかどうかを確認します。クラスターSnapshotRetentionLimitの が指定された期間未満の場合、コントロールは失敗します。スナップショット保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 1 日を使用します。

ElastiCache (Valkey および Redis OSS) クラスターはデータをバックアップできます。バックアップを使用して、クラスターを復元したり、新しいクラスターをシードしたりできます。バックアップは、クラスターのすべてのデータとクラスターのメタデータで構成されます。すべてのバックアップは、堅牢なストレージを提供する Amazon S3 に書き込まれます。データを復元するには、新しい ElastiCache クラスターを作成し、バックアップのデータを入力します。バックアップは、 AWS Management Console、、 AWS CLIおよび ElastiCache API を使用して管理できます。

注記

2025 年 10 月 14 日、Security Hub はこのコントロールのタイトル、説明、およびルールを変更しました。以前は、コントロールは elasticache-redis-cluster-automatic-backup-check ルールを使用して、Redis OSS クラスターとすべてのレプリケーショングループをチェックしていました。コントロールのタイトルは、ElastiCache (Redis OSS) クラスターで自動バックアップを有効にする必要があります

このコントロールは、Redis OSS クラスターとすべてのレプリケーショングループに加えて Valkey クラスターをチェックするようになりました。新しいタイトルと説明は、コントロールが両方のタイプのクラスターをチェックすることを反映しています。

修正

ElastiCache クラスターの自動バックアップのスケジュールについては、Amazon ElastiCache ユーザーガイド」の「自動バックアップのスケジュール」を参照してください。

[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります

関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ : AWS::ElastiCache::CacheCluster

AWS Config ルール : elasticache-auto-minor-version-upgrade-check

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、Amazon ElastiCache がキャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するかどうかを評価します。キャッシュクラスターにマイナーバージョンアップグレードが自動的に適用されていない場合、コントロールは失敗します。

注記

このコントロールは ElastiCache Memcached クラスターには適用されません。

自動マイナーバージョンアップグレードは、新しいマイナーキャッシュエンジンバージョンが利用可能になったときに Amazon ElastiCache でキャッシュクラスターを自動的にアップグレードするために有効にできる機能です。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

修正

既存の ElastiCache キャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するには、「Amazon ElastiCache ユーザーガイド」の「ElastiCache のバージョン管理」を参照してください。 Amazon ElastiCache

[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-auto-failover-enabled

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、ElastiCache レプリケーショングループで自動フェイルオーバーが有効になっているかどうかを確認します。レプリケーショングループで自動フェイルオーバーが有効になっていない場合、コントロールは失敗します。

レプリケーショングループで自動フェイルオーバーを有効にすると、プライマリノードのロールは、いずれかのリードレプリカに自動的にフェイルオーバーされます。このフェイルオーバーとレプリカの昇格により、昇格の完了後すぐに新しいプライマリへの書き込みを再開できるため、障害発生時も全体のダウンタイムを短縮できます。

修正

既存の ElastiCache レプリケーショングループの自動フェイルオーバーを有効にするには、「Amazon ElastiCache ユーザーガイド」の「ElastiCache クラスターの変更」を参照してください。 Amazon ElastiCache ElastiCache コンソールを使用する場合は、[自動フェイルオーバー] を有効に設定します。

[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-encrypted-at-rest

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、ElastiCache レプリケーショングループが保管中に暗号化されているかどうかを確認します。レプリケーショングループが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。ElastiCache (Redis OSS) レプリケーショングループは、セキュリティを強化するために、保管中に暗号化する必要があります。

修正

ElastiCache レプリケーショングループで保管時の暗号化を設定するには、Amazon ElastiCache ユーザーガイド」の「保管時の暗号化の有効化」を参照してください。

[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります

関連する要件: NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8800-53.NIST.800-53.r5 SC-8r SI-75

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-encrypted-in-transit

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、ElastiCache レプリケーショングループが転送中に暗号化されているかどうかをチェックします。レプリケーショングループが転送中に暗号化されていない場合、コントロールは失敗します。

転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。ElastiCache レプリケーショングループで転送中の暗号化を有効にすると、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するたびにデータが暗号化されます。

修正

ElastiCache レプリケーショングループで転送中の暗号化を設定するには、Amazon ElastiCache ユーザーガイド」の「転送中の暗号化の有効化」を参照してください。

[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります

関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ : AWS::ElastiCache::ReplicationGroup

AWS Config ルール : elasticache-repl-grp-redis-auth-enabled

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、ElastiCache (Redis OSS) レプリケーショングループの Redis OSS AUTH が有効になっているかどうかを確認します。Redis OSS バージョンが 6.0 より前で AuthToken が使用されていない場合、ElastiCache for Redis レプリケーショングループのコントロールは失敗します。

Redis 認証トークンまたはパスワードを使用すると、Redis はクライアントにコマンドの実行を許可する前にパスワードを要求するため、データのセキュリティが向上します。Redis 6.0 以降のバージョンでは、ロールベースのアクセス制御 (RBAC) の使用をお勧めします。RBAC は 6.0 より前のバージョンの Redis ではサポートされていないため、このコントロールは RBAC 機能を使用できないバージョンのみを評価します。

修正

ElastiCache (Redis OSS) レプリケーショングループで Redis AUTH を使用するには、「Amazon ElastiCache ユーザーガイド」の「既存の ElastiCache (Redis OSS) クラスターでの AUTH トークンの変更」を参照してください。

[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::ElastiCache::CacheCluster

AWS Config ルール : elasticache-subnet-group-check

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールは、ElastiCache クラスターにカスタムサブネットグループが設定されているかどうかを確認します。ElastiCache クラスターの CacheSubnetGroupName の値が default である場合、コントロールは失敗します。

ElastiCache クラスターを起動すると、デフォルトのサブネットグループがまだ存在しない場合は作成されます。デフォルトグループは、デフォルトの仮想プライベートクラウド (VPC) のサブネットを使用します。クラスターが存在するサブネットや、クラスターがサブネットから継承するネットワークの制限機能がより強力な、カスタムサブネットグループを使用することをお勧めします。

修正

ElastiCache クラスターの新しいサブネットグループを作成するには、「Amazon ElastiCache ユーザーガイド」の「サブネットグループの作成」を参照してください。