翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub CSPM の PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) は、クレジットカードとデビットカードの情報を安全に処理するための一連のルールとガイドラインを提供するサードパーティーのコンプライアンスフレームワークです。PCI Security Standards Council (SSC) は、このフレームワークを作成および更新します。
AWS Security Hub Cloud Security Posture Management (CSPM) は、このサードパーティーフレームワークへの準拠を維持するのに役立つ PCI DSS 標準を提供します。この標準を使用して、カード所有者データを処理する AWS リソースのセキュリティの脆弱性を検出できます。カード所有者データまたは機密認証データを保存、処理、または送信するリソース AWS アカウント がある でこの標準を有効にすることをお勧めします。PCI SSC による評価では、この標準を検証しました。
Security Hub CSPM は、PCI DSS v3.2.1 と PCI DSS v4.0.1 の両方をサポートしています。v4.0.1 を使用して、セキュリティのベストプラクティスを最新の状態に保つことをお勧めします。標準の両方のバージョンを同時に有効にできます。標準を有効にする方法については、「」を参照してくださいセキュリティ標準の有効化。現在 v3.2.1 を使用しているが v4.0.1 のみを使用する場合は、古いバージョンを無効にする前に新しいバージョンを有効にします。これにより、セキュリティチェックのギャップを防ぐことができます。Security Hub CSPM と の統合を使用して AWS Organizations いて、複数のアカウントで v4.0.1 をバッチ有効化する場合は、中央設定を使用して有効にすることをお勧めします。
以下のセクションでは、PCI DSS v3.2.1 および PCI DSS v4.0.1 に適用されるコントロールを指定します。
PCI DSS v3.2.1 に適用されるコントロール
次のリストは、PCI DSS v3.2.1 に適用される AWS Security Hub Cloud Security Posture Management (CSPM) コントロールを指定します。コントロールの詳細を確認するには、コントロールを選択します。
[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある
[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります
[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります
[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります
[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください
[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません
[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります
[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります
[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします
[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします
[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします
[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります
[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります
[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります
[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります
[GuardDuty.1] GuardDuty を有効にする必要があります
[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください
[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください
[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません
[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります
[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります
[IAM.9] ルートユーザーに対して MFA を有効にする必要があります
[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です
[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります
[KMS.4] AWS KMS キーローテーションを有効にする必要があります
[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります
[Lambda.3] Lambda 関数は VPC 内に存在する必要があります
[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります
[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります
[RDS.1] RDS スナップショットはプライベートである必要があります
[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。
[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります
[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。
[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。
[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります
[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります
[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager
[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります
PCI DSS v4.0.1 に適用されるコントロール
次のリストは、PCI DSS v4.0.1 に適用される AWS Security Hub Cloud Security Posture Management (CSPM) コントロールを指定します。コントロールの詳細を確認するには、コントロールを選択します。
[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります
[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります
[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります
[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります
[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません
[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります
[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください
[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります
[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります
[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります
[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります
[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります
[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります
[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります
[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します
[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します
[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください
[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません
[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります
[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります
[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります
[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります
[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります
[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。
[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。
[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。
[DMS.9] DMS エンドポイントは SSL を使用する必要があります。
[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です
[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります
[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります
[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります
[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします
[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします
[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします
[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります
[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります
[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします
[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります
[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります
[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります
[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします
[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります
[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。
[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。
[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください
[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください
[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります
[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります
[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。
[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります
[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります
[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります
[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります
[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります
[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります
[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります
[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります
[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります
[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります
[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります
[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります
[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります
[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります
[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります
[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります
[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります
[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります
[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります
[GuardDuty.1] GuardDuty を有効にする必要があります
[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります
[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります
[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります
[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります
[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します
[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します
[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します
[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します
[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています
[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します
[IAM.18] AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します
[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります
[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります
[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります
[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります
[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です
[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります
[IAM.9] ルートユーザーに対して MFA を有効にする必要があります
[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります
[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります
[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります
[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります
[KMS.4] AWS KMS キーローテーションを有効にする必要があります
[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります
[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります
[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります
[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります
[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります
[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります
[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください
[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります
[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります
[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります
[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります
[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります
[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります
[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります
[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります
[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります
[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります
[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります
[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります
[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります
[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。
[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります
[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys
[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります
[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります
[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります
[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります
[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。
[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります
[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります
[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります
[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります
[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります
[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります
[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります
[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります
[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください
[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります
[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります
