翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub CSPM のコントロールリファレンス
このコントロールリファレンスは、利用可能な AWSSecurity Hub CSPM コントロールの表と、各コントロールに関する詳細情報へのリンクを提供します。テーブルでは、コントロールはコントロール ID によってアルファベット順にリストされています。Security Hub CSPM でアクティブに使用されているコントロールのみがここに含まれています。廃止されたコントロールは、表から除外されます。
このテーブルには、各コントロールの以下の情報が表示されます。
-
セキュリティコントロール ID – この ID は標準に適用され、コントロールに関連する AWS のサービスとリソースを示します。Security Hub CSPM コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロール ID が表示されます。ただし、Security Hub CSPM の検出結果がセキュリティコントロール ID を参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロール ID はコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub CSPM はコントロールのタイトルや説明を更新することがありますが、コントロール ID は変わりません。
コントロール ID は数字が飛ばされることがあります。これらは将来のコントロール用のプレースホルダーです。
-
セキュリティコントロールタイトル — このタイトルはあらゆる標準に適用されます。Security Hub CSPM コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub CSPM 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
-
適用される標準 — コントロールが適用される標準を示します。コントロールを選択して、サードパーティのコンプライアンスフレームワークにおける特定の要件を確認します。
-
重要度 — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub CSPM がコントロールの重要度を決定する方法の詳細については、「コントロールの検出結果の重要度」を参照してください。
-
カスタムパラメータをサポート — コントロールが 1 つ以上のパラメータのカスタム値をサポートしているかどうかを示します。コントロールを選択して、パラメータの詳細を確認します。詳細については、「Security Hub CSPM のコントロールパラメータについて」を参照してください。
-
スケジュールタイプ — コントロールがいつ評価されるかを示します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
コントロールを選択して、追加の詳細を確認します。コントロールは、セキュリティコントロール ID によってアルファベット順に一覧表示されます。
| セキュリティコントロール ID | セキュリティコントロールのタイトル | 適用される標準 | 緊急度 | カスタムパラメータをサポート | スケジュールタイプ |
|---|---|---|---|---|---|
| Account.1 | のセキュリティ連絡先情報は、 に提供する必要があります。AWS アカウント | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| Account.2 | AWS アカウントはAWS Organizations組織の一部である必要があります | NIST SP 800-53 Rev. 5 | 高 | |
定期的 |
| ACM.1 | インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
変更によるトリガーと定期的なトリガー |
| ACM.2 | ACM が管理する RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| ACM.3 | ACM 証明書にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Amplify.1 | Amplify アプリにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Amplify.2 | Amplify ブランチにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| APIGateway.1 | API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| APIGateway.2 | API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
変更によってトリガーされる |
| APIGateway.3 | API Gateway REST API ステージでは、AWS X-Rayトレースを有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| APIGateway.4 | API Gateway は、WAF ウェブ ACL に関連付けられている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| APIGateway.5 | API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| APIGateway.8 | API Gateway ルートには認可タイプを指定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| APIGateway.9 | API Gateway V2 ステージにアクセスログ記録を設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| AppConfig.1 | AWS AppConfigアプリケーションにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppConfig.2 | AWS AppConfig設定プロファイルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppConfig.3 | AWS AppConfig環境にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppConfig.4 | AWS AppConfig拡張機能の関連付けにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppFlow.1 | Amazon AppFlow フローにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppRunner.1 | App Runner サービスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppRunner.2 | App Runner VPC コネクタにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppSync.1 | AWSAppSync API キャッシュは保管時に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| AppSync.2 | AWSAppSync ではフィールドレベルのログ記録が有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| AppSync.4 | AWSAppSync GraphQL APIsタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| AppSync.5 | AWSAppSync GraphQL APIsは API キーで認証しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| AppSync.6 | AWSAppSync API キャッシュは転送中に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Athena.2 | Athena データカタログにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Athena.3 | Athena ワークグループにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Athena.4 | Athena ワークグループではログ記録が有効になっている必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| AutoScaling.1 | ロードバランサーに関連付けられた Auto Scaling グループは、ELB のヘルスチェックを使用する必要があります | AWSFoundational Security Best Practices、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| AutoScaling.2 | Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| AutoScaling.3 | Auto Scaling グループの起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| Autoscaling.5 | Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| AutoScaling.6 | Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| AutoScaling.9 | EC2 Auto Scaling グループは EC2 起動テンプレートを使用する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| AutoScaling.10 | EC2 Auto Scaling グループにタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Backup.1 | AWS Backupリカバリポイントは保管時に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Backup.2 | AWS Backup復旧ポイントにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Backup.3 | AWS Backupボールトにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Backup.4 | AWS Backupレポートプランにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Backup.5 | AWS Backupバックアッププランにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| バッチ.1 | バッチジョブキューにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| バッチ.2 | バッチスケジューリングポリシーにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| バッチ.3 | バッチコンピューティング環境にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| バッチ.4 | マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CloudFormation.2 | CloudFormation スタックにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CloudFormation.3 | CloudFormation スタックで終了保護を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| CloudFormation.4 | CloudFormation スタックにはサービスロールが関連付けられている必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| CloudFront.1 | CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | 変更によってトリガーされる | |
| CloudFront.3 | CloudFront ディストリビューションでは、転送中に暗号化が必要となります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| CloudFront.4 | CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CloudFront.5 | CloudFront ディストリビューションでは、ログ記録を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| CloudFront.6 | CloudFront ディストリビューションでは、WAF を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| CloudFront.7 | CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | |
変更によってトリガーされる |
| CloudFront.8 | CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CloudFront.9 | CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| CloudFront.10 | CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| CloudFront.12 | CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
定期的 |
| CloudFront.13 | CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | |
変更によってトリガーされる |
| CloudFront.14 | CloudFront ディストリビューションにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CloudFront.15 | CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | 変更によってトリガーされる | |
| CloudFront.16 | CloudFront ディストリビューションは Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | 変更によってトリガーされる | |
| CloudFront.17 | CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | 変更によってトリガーされる | |
| CloudTrail.1 | CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 高 | 定期的 | |
| CloudTrail.2 | CloudTrail は保管時の暗号化を有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.2.0、CIS AWSFoundations Benchmark v1.4.0AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期的 |
| CloudTrail.3 | 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | 高 | 定期的 | |
| CloudTrail.4 | CloudTrail ログファイルの検証を有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | 低 | |
定期的 |
| CloudTrail.5 | CloudTrail 証跡は、Amazon CloudWatch Logs と統合する必要があります | CIS AWSFoundations Benchmark v1.2.0、CIS AWSFoundations Benchmark v1.4.0、AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期的 |
| CloudTrail.6 | CloudTrail ログの保存に使用されるS3 バケットが一般公開されていないことを確認します | CIS AWSFoundations Benchmark v1.2.0、CIS AWSFoundations Benchmark v1.4.0、PCI DSS v4.0.1 | 重大 | |
変更によるトリガーと定期的なトリガー |
| CloudTrail.7 | S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認します | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.2.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v3.0.0、PCI DSS v4.0.1 | 低 | |
定期的 |
| CloudTrail.9 | CloudTrail 証跡にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CloudTrail.10 | CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要がありますAWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| CloudWatch.1 | 「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 | 低 | |
定期的 |
| CloudWatch.2 | 不正な API コールに対するログメトリクスフィルターとアラームが存在することを確認する | CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.3 | MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.2.0 | 低 | |
定期的 |
| CloudWatch.4 | MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。 | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.5 | CloudTrail の設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します。 | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.6 | AWS マネジメントコンソール認証失敗のログメトリクスフィルターとアラームが存在することを確認する | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.7 | カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.8 | S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.9 | AWS Config設定変更のログメトリクスフィルターとアラームが存在することを確認する | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.10 | セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.11 | ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.12 | ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.13 | ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.14 | VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期的 |
| CloudWatch.15 | CloudWatch アラームには、指定されたアクションが設定されている必要があります | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 高い | |
変更によってトリガーされる |
| CloudWatch.16 | CloudWatch ロググループは指定された期間保持する必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| CloudWatch.17 | CloudWatch アラームアクションを有効にする必要があります | NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| CodeArtifact.1 | CodeArtifact リポジトリにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CodeBuild.1 | CodeBuild Bitbucket のソースリポジトリの URL には機密認証情報を含めないでください | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | 変更によってトリガーされる | |
| CodeBuild.2 | CodeBuild プロジェクト環境変数に、クリアテキストの認証情報を含めるべきでない | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | |
変更によってトリガーされる |
| CodeBuild.3 | CodeBuild S3 ログは暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、 | 低 | |
変更によってトリガーされる |
| CodeBuild.4 | CodeBuild プロジェクト環境にはログ記録の設定が必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CodeBuild.7 | CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| CodeGuruProfiler.1 | CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CodeGuruReviewer.1 | CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Cognito.1 | Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Cognito.2 | Cognito アイデンティティプールは認証されていない ID を許可すべきではありません | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Cognito.3 | Cognito ユーザープールのパスワードポリシーには強力な設定が必要です | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Cognito.4 | Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Cognito.5 | Cognito ユーザープールに対して MFA を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Cognito.6 | Cognito ユーザープールでは削除保護を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Config.1 | AWS Configを有効にし、リソースの記録にサービスにリンクされたロールを使用する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1 | 重大 | 定期的 | |
| Connect.1 | Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Connect.2 | Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| DataFirehose.1 | Firehose 配信ストリームは保管時に暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| DataSync.1 | DataSync タスクではログ記録が有効になっている必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| DataSync.2 | DataSync タスクにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Detective.1 | 検出動作グラフにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| DMS.1 | Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | |
定期的 |
| DMS.2 | DMS 証明書にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| DMS.3 | DMS イベントサブスクリプションにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| DMS.4 | DMS レプリケーションインスタンスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| DMS.5 | DMS レプリケーションサブネットグループにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| DMS.6 | DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。 | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| DMS.7 | ターゲットデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| DMS.8 | ソースデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| DMS.9 | DMS エンドポイントは SSL を使用する必要があります。 | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| DMS.10 | Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| DMS.11 | MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| DMS.12 | Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| DMS.13 | DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| DocumentDB.1 | Amazon DocumentDB クラスターは、保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DocumentDB.2 | Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| DocumentDB.3 | Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 重大 | |
変更によってトリガーされる |
| DocumentDB.4 | Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| DocumentDB.5 | Amazon DocumentDB では、削除保護が有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DocumentDB.6 | Amazon DocumentDB クラスターは、転送中に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| DynamoDB.1 | DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| DynamoDB.2 | DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DynamoDB.3 | DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| DynamoDB.4 | DynamoDB テーブルはバックアッププランに含まれている必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| DynamoDB.5 | DynamoDB テーブルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| DynamoDB.6 | DynamoDB テーブルで、削除保護が有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DynamoDB.7 | DynamoDB Accelerator クラスターは、転送中に暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 定期的 | |
| EC2.1 | EBS スナップショットをパブリックに復元可能であってはなりません | AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| EC2.2 | VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWSFoundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| EC2.3 | アタッチされた EBS ボリュームは、保管時に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.4 | 停止した EC2 インスタンスは、指定した期間後に削除する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EC2.6 | すべての VPC で VPC フローログ記録を有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CISAWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
定期的 |
| EC2.7 | EBS のデフォルト暗号化を有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、AWSFoundational Security Best Practices v1.0.0、CIS AWSFoundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EC2.8 | EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| EC2.9 | EC2 インスタンスは、パブリック IPv4 アドレスを未設定にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| EC2.10 | Amazon EC2 サービス用に作成された VPC エンドポイントを使用するように Amazon EC2 を設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
定期的 |
| EC2.12 | 未使用の EC2 EIP を削除する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EC2.13 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります | CIS AWSFoundations Benchmark v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 高 | 変更によるトリガーと定期的なトリガー | |
| EC2.14 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります | CIS AWSFoundations Benchmark v1.2.0、PCI DSS v4.0.1 | 高 | 変更によるトリガーと定期的なトリガー | |
| EC2.15 | EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、 | 中 | |
変更によってトリガーされる |
| EC2.16 | 未使用のネットワークアクセスコントロールリストを削除する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、 | 低 | |
変更によってトリガーされる |
| EC2.17 | EC2 インスタンスは複数の ENI を使用しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EC2.18 | セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 高い | |
変更によってトリガーされる |
| EC2.19 | セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 重大 | 変更によるトリガーと定期的なトリガー | |
| EC2.20 | AWSSite-to-Site VPN トンネルが稼働している必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
変更によってトリガーされる |
| EC2.21 | ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| EC2.22 | 未使用の EC2 セキュリティグループを削除する必要があります | 中 | 定期的 | ||
| EC2.23 | EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けないようにする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| EC2.24 | EC2 準仮想化インスタンスタイプは使用しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.25 | EC2 起動テンプレートはパブリック IP をネットワークインターフェイスに割り当ててはなりません | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| EC2.28 | EBS ボリュームはバックアッププランに入っている必要があります | NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| EC2.33 | EC2 Transit Gateway アタッチメントにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.34 | EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.35 | EC2 ネットワークインターフェイスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.36 | EC2 カスタマーゲートウェイにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.37 | EC2 Elastic IP アドレスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.38 | EC2 インスタンスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.39 | EC2 インターネットゲートウェイにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.40 | EC2 NAT ゲートウェイにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.41 | EC2 ネットワーク ACL にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.42 | EC2 ルートテーブルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.43 | EC2 セキュリティグループにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.44 | EC2 サブネットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.45 | EC2 ボリュームにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.46 | Amazon VPC にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.47 | Amazon VPC エンドポイントサービスはタグ付けする必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.48 | Amazon VPC フローログにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.49 | Amazon VPC ピアリング接続にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.50 | EC2 VPN ゲートウェイにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.51 | EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
変更によってトリガーされる |
| EC2.52 | EC2 Transit Gateway にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.53 | EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないようにする必要があります。 | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、PCI DSS v4.0.1 | 高 | 定期的 | |
| EC2.54 | EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可していないようにする必要があります。 | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、PCI DSS v4.0.1 | 高 | 定期的 | |
| EC2.55 | VPC は ECR API のインターフェイスエンドポイントで設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| EC2.56 | VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| EC2.57 | VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| EC2.58 | VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| EC2.60 | VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| EC2.170 | EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 低 | 変更によってトリガーされる | |
| EC2.171 | EC2 VPN 接続ではログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| EC2.172 | EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| EC2.173 | 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| EC2.174 | EC2 DHCP オプションセットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.175 | EC2 起動テンプレートにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.176 | EC2 プレフィックスリストにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.177 | EC2 トラフィックミラーセッションにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.178 | EC2 トラフィックミラーフィルターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.179 | EC2 トラフィックミラーターゲットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EC2.180 | EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | 変更によってトリガーされる | |
| EC2.181 | EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | 変更によってトリガーされる | |
| EC2.182 | EBS スナップショットはパブリックにアクセスできません | AWS基本的なセキュリティのベストプラクティス | 高 | 変更によってトリガーされる | |
| ECR.1 | ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
定期的 |
| ECR.2 | ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ECR.3 | ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ECR.4 | ECR パブリックリポジトリにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| ECR.5 | ECR リポジトリはカスタマーマネージド AWS KMS keys で暗号化する必要があります | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| ECS.1 | Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| ECS.2 | Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| ECS.3 | ECS タスク定義では、ホストのプロセス名前空間を共有しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| ECS.4 | ECS コンテナは、非特権として実行する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| ECS.5 | ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| ECS.8 | シークレットは、コンテナ環境の変数として渡さないでください | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| ECS.9 | ECS タスク定義にはログ設定が必要です。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| ECS.10 | ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。 | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| ECS.12 | ECS クラスターはコンテナインサイトを使用する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ECS.13 | ECS サービスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| ECS.14 | ECS クラスターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| ECS.15 | ECS タスク定義にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| ECS.16 | ECS タスクは、パブリック IP アドレスを自動的に割り当てないでください | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 変更によってトリガーされる | |
| ECS.17 | ECS タスク定義ではホストネットワークモードを使用すべきではありません | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| ECS.18 | ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| ECS.19 | ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| ECS.20 | ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| ECS.21 | ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| EFS.1 | Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります。AWS KMS | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EFS.2 | Amazon EFS ボリュームは、バックアッププランに含める必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EFS.3 | EFS アクセスポイントは、ルートディレクトリを適用する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EFS.4 | EFS アクセスポイントは、ユーザー ID を適用する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| EFS.5 | EFS アクセスポイントにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EFS.6 | EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| EFS.7 | EFS ファイルシステムでは、自動バックアップが有効になっている必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| EFS.8 | EFS ファイルシステムは保管時に暗号化する必要があります | CIS AWSFoundations Benchmark v5.0.0、AWS基盤セキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| EKS.1 | EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
定期的 |
| EKS.2 | EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| EKS.3 | EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 定期的 | |
| EKS.6 | EKS クラスターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EKS.7 | EKS ID プロバイダー設定にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EKS.8 | EKS クラスターでは、監査ログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| ElastiCache.1 | ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高い | 定期的 | |
| ElastiCache.2 | ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。 | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
定期的 |
| ElastiCache.3 | ElastiCache レプリケーショングループでは自動フェイルオーバーを有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.4 | ElastiCache レプリケーショングループは保管時に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.5 | ElastiCache レプリケーショングループは、転送中に暗号化されている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期的 |
| ElastiCache.6 | 以前の Redis バージョンの ElastiCache (Redis OSS) レプリケーショングループでは、Redis OSS AUTH を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期的 |
| ElastiCache.7 | ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
定期的 |
| ElasticBeanstalk.1 | Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| ElasticBeanstalk.2 | Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高い | |
変更によってトリガーされる |
| ElasticBeanstalk.3 | Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高い | |
変更によってトリガーされる |
| ELB.1 | Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ELB.2 | SSL/HTTPS リスナーを使用する Classic Load Balancer は、AWS Certificate Manager によって提供される証明書を使用する必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
変更によってトリガーされる |
| ELB.3 | Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| ELB.4 | Application Load Balancer は、http ヘッダーを削除するように設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| ELB.5 | アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.6 | アプリケーション、ゲートウェイ、Network Load Balancer で削除保護を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| ELB.7 | Classic Load Balancer は、Connection Draining を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| ELB.8 | SSL リスナーを使用する Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| ELB.9 | Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.10 | Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.12 | Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| ELB.13 | Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.14 | Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| ELB.16 | Application Load Balancer は AWSWAF ウェブ ACL に関連付ける必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.17 | リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.18 | Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | 変更によってトリガーされる | |
| EMR.1 | Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | 定期的 | |
| EMR.2 | Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 重大 | 定期的 | |
| EMR.3 | Amazon EMR セキュリティ設定は保管時に暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| EMR.4 | Amazon EMR セキュリティ設定は転送中に暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| ES.1 | Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ES.2 | Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | AWSFoundational Security Best Practices、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| ES.3 | Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、 | 中 | |
変更によってトリガーされる |
| ES.4 | CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.5 | Elasticsearch ドメインで監査ログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.6 | Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.7 | Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.8 | Elasticsearch ドメインへの接続は TLS セキュリティポリシーを使用して暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| ES.9 | Elasticsearch ドメインには タグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EventBridge.2 | EventBridge イベントバスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EventBridge.3 | Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
変更によってトリガーされる |
| EventBridge.4 | EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| FraudDetector.1 | Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| FraudDetector.2 | Amazon Fraud Detector ラベルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| FraudDetector.3 | Amazon Fraud Detector の結果にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| FraudDetector.4 | Amazon Fraud Detector 変数にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| FSx.1 | FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| FSx.2 | FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 低 | 定期的 | |
| FSx.3 | FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| FSx.4 | FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| FSx.5 | FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| Glue.1 | AWS Glueジョブにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Glue.3 | AWS Glue機械学習変換は保管時に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| Glue.4 | AWS GlueSpark ジョブは、サポートされているバージョンの で実行する必要があります。AWS Glue | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| GlobalAccelerator.1 | Global Accelerator アクセラレーターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| GuardDuty.1 | GuardDuty を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 高 | |
定期的 |
| GuardDuty.2 | GuardDuty フィルターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| GuardDuty.3 | GuardDuty IPSet タグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| GuardDuty.4 | GuardDuty ディテクターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| GuardDuty.5 | GuardDuty EKS 監査ログモニタリングを有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 高 | 定期的 | |
| GuardDuty.6 | GuardDuty Lambda Protection を有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| GuardDuty.7 | GuardDuty EKS ランタイムモニタリングを有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| GuardDuty.8 | EC2 の GuardDuty Malware Protection を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 高 | 定期的 | |
| GuardDuty.9 | GuardDuty RDS Protection を有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| GuardDuty.10 | GuardDuty S3 Protection を有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| GuardDuty.11 | GuardDuty ランタイムモニタリングを有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 高 | 定期的 | |
| GuardDuty.12 | GuardDuty ECS ランタイムモニタリングを有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| GuardDuty.13 | GuardDuty EC2 ランタイムモニタリングを有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| IAM.1 | IAM ポリシーでは、完全な「*」管理権限を許可してはなりません | CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWSFoundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 高 | |
変更によってトリガーされる |
| IAM.2 | IAM ユーザーには IAM ポリシーをアタッチしてはなりません | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | |
変更によってトリガーされる |
| IAM.3 | IAM ユーザーのアクセスキーは 90 日以内ごとに更新する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.4 | IAM ルートユーザーのアクセスキーが存在してはいけません | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| IAM.5 | MFA は、コンソールパスワードを持つすべての IAM ユーザーに対して有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.6 | ルートユーザーに対してハードウェア MFA を有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | |
定期的 |
| IAM.7 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.8 | 未使用の IAM ユーザー認証情報は削除する必要があります | CIS AWSFoundations Benchmark v1.2.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.9 | ルートユーザーに対して MFA を有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | |
定期的 |
| IAM.10 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | NIST SP 800-171 Rev. 2、CI DSS v3.2.1 | 中 | |
定期的 |
| IAM.11 | IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する | CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.12 | IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する | CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.13 | IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する | CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 中 | |
定期的 |
| IAM.14 | IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する | CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.15 | IAM パスワードポリシーにおいて、14 文字以上のパスワードが要求されるようにする | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2 | 中 | |
定期的 |
| IAM.16 | IAM パスワードポリシーはパスワードの再使用を禁止しています | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
定期的 |
| IAM.17 | IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する | CIS AWSFoundations Benchmark v1.2.0、PCI DSS v4.0.1 | 低 | |
定期的 |
| IAM.18 | AWS サポート でインシデントを管理するためのサポートロールが作成されていることを確認する | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
定期的 |
| IAM.19 | すべての IAM ユーザーに対して MFA を有効にする必要があります | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期的 |
| IAM.21 | 作成する IAM カスタマー管理ポリシーにはサービスのワイルドカードアクションを許可しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | |
変更によってトリガーされる |
| IAM.22 | 45 日間未使用の IAM ユーザー認証情報は削除する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、NIST SP 800-171 Rev. 2 | 中 | |
定期的 |
| IAM.23 | IAM Access Analyzer アナライザーにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IAM.24 | IAM ロールにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IAM.25 | IAM ユーザーはタグ付けする必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IAM.26 | IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0 | 中 | 定期的 | |
| IAM.27 | IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0 | 中 | 変更によってトリガーされる | |
| IAM.28 | IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0 | 高 | 定期的 | |
| Inspector.1 | Amazon Inspector EC2 スキャンを有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| Inspector.2 | Amazon Inspector ECR スキャンを有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| Inspector.3 | Amazon Inspector Lambda コードスキャンを有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| Inspector.4 | Amazon Inspector Lambda 標準スキャンを有効する必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| IoT.1 | AWS IoT Device Defenderセキュリティプロファイルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoT.2 | AWS IoT Core緩和アクションにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoT.3 | AWS IoT Coreディメンションにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoT.4 | AWS IoT Coreオーソライザーにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoT.5 | AWS IoT Coreロールエイリアスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoT.6 | AWS IoT Coreポリシーにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTEvents.1 | AWS IoT Events入力にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTEvents.2 | AWS IoT Eventsディテクターモデルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTEvents.3 | AWS IoT Eventsアラームモデルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTSiteWise.1 | AWS IoT SiteWiseアセットモデルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTSiteWise.2 | AWS IoT SiteWiseダッシュボードにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTSiteWise.3 | AWS IoT SiteWiseゲートウェイにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTSiteWise.4 | AWS IoT SiteWiseポータルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTSiteWise.5 | AWS IoT SiteWiseプロジェクトにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTTwinMaker.1 | AWSIoT TwinMaker 同期ジョブにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTTwinMaker.2 | AWSIoT TwinMaker ワークスペースにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTTwinMaker.3 | AWSIoT TwinMaker シーンにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTTwinMaker.4 | AWSIoT TwinMaker エンティティにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTWireless.1 | AWSIoT Wireless マルチキャストグループにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTWireless.2 | AWSIoT Wireless サービスプロファイルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IoTWireless.3 | AWSIoT Wireless FUOTA タスクにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IVS.1 | IVS 再生キーペアにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IVS.2 | IVS 記録設定にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IVS.3 | IVS チャネルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Keyspaces.1 | Amazon Keyspaces キースペースにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Kinesis.1 | Kinesis Streams は、保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Kinesis.2 | Kinesis ストリームにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Kinesis.3 | Kinesis ストリームには適切なデータ保持期間が必要です | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| KMS.1 | IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| KMS.2 | IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用ないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| KMS.3 | AWS KMS keys意図せずに削除しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| KMS.4 | AWS KMS keyローテーションを有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、CIS AWSFoundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期的 |
| KMS.5 | KMS キーはパブリックにアクセスできません | AWS基本的なセキュリティのベストプラクティス | 重大 | 変更によってトリガーされる | |
| Lambda.1 | Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | |
変更によってトリガーされる |
| Lambda.2 | Lambda 関数はサポートされているランタイムを使用する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| Lambda.3 | Lambda 関数は VPC 内に存在する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Lambda.5 | VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Lambda.6 | Lambda 関数にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Lambda.7 | Lambda 関数では、AWS X-Rayアクティブトレースを有効にする必要があります | NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| Macie.1 | Amazon Macie を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| Macie.2 | Macie 自動機密データ検出を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | 定期的 | |
| MSK.1 | MSK クラスターはブローカーノード間の転送時に暗号化される必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| MSK.2 | MSK クラスターでは、拡張モニタリングを設定する必要があります | NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| MSK.3 | MSK Connect コネクタは転送中に暗号化する必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| MSK.4 | MSK クラスターではパブリックアクセスを無効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 重大 | 変更によってトリガーされる | |
| MSK.5 | MSK コネクタではログ記録が有効になっている必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| MSK.6 | MSK クラスターは認証されていないアクセスを無効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| MQ.2 | ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| MQ.3 | Amazon MQ ブローカーでは自動マイナーバージョンアップグレードが有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| MQ.4 | Amazon MQ ブローカーにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| MQ.5 | ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります | NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| MQ.6 | RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 | NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Neptune.1 | Neptune DB クラスターは、保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Neptune.2 | Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| Neptune.3 | Neptune DB クラスタースナップショットはパブリックにしないでください | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 重大 | |
変更によってトリガーされる |
| Neptune.4 | Neptune DB クラスターでは、削除保護が有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Neptune.5 | Neptune DB クラスターでは、自動バックアップが有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Neptune.6 | Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Neptune.7 | Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Neptune.8 | Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Neptune.9 | Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.1 | Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.2 | Network Firewall ログ記録を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
定期的 |
| NetworkFirewall.3 | Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.4 | Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.5 | Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.6 | ステートレスネットワークファイアウォールのルールグループを空にしないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.7 | Network Firewall ファイアウォールにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| NetworkFirewall.8 | Network Firewall ファイアウォールポリシーにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| NetworkFirewall.9 | Network Firewall は削除保護を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.10 | Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| Opensearch.1 | OpenSearch ドメインは保管中の暗号化を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.2 | OpenSearch ドメインがパブリックにアクセスできないようにする必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| Opensearch.3 | OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.4 | CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.5 | OpenSearch ドメインでは、監査ログ記録を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| Opensearch.6 | OpenSearch ドメインには少なくとも 3 つのデータノードが必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.7 | OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| Opensearch.8 | OpenSearch ドメインへの接続は 最新の TLS セキュリティポリシーを使用して暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| Opensearch.9 | OpenSearch ドメインにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Opensearch.10 | OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| Opensearch.11 | OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です | NIST SP 800-53 Rev. 5 | 低 | 定期的 | |
| PCA.1 | AWS Private CAルート認証機関を無効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| PCA.2 | AWSプライベート CA 認証機関にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| RDS.1 | RDS スナップショットはプライベートである必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| RDS.2 | RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | |
変更によってトリガーされる |
| RDS.3 | RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.4 | RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.5 | RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります | CIS AWSFoundations Benchmark v5.0.0、 AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.6 | RDS DB インスタンスの拡張モニタリングを設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.7 | RDS クラスターでは、削除保護が有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.8 | RDS DB インスタンスで、削除保護が有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.9 | RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| RDS.10 | IAM 認証は RDS インスタンス用に設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.11 | Amazon RDS インスタンスでは、自動バックアップが有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.12 | IAM 認証は RDS クラスター用に設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.13 | RDS 自動マイナーバージョンアップグレードを有効にする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| RDS.14 | Amazon Aurora クラスターはバックトラッキングを有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.15 | RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります | CIS AWSFoundations Benchmark v5.0.0、 AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.16 | Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| RDS.17 | RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.18 | RDS インスタンスは VPC 内にデプロイする必要があります | 高 | |
変更によってトリガーされる | |
| RDS.19 | 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.20 | 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
変更によってトリガーされる |
| RDS.21 | 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
変更によってトリガーされる |
| RDS.22 | 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
変更によってトリガーされる |
| RDS.23 | RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.24 | RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| RDS.25 | RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| RDS.26 | RDS DB インスタンスはバックアッププランで保護する必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| RDS.27 | RDS DB クラスターは保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.28 | RDS DB クラスターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| RDS.29 | RDS DB クラスタースナップショットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| RDS.30 | RDS DB インスタンスにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| RDS.31 | RDS DB セキュリティグループにタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| RDS.32 | RDS DB スナップショットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| RDS.33 | RDS DB サブネットグループはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| RDS.34 | Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| RDS.35 | RDS DB クラスターではマイナーバージョンの自動アップグレードを有効にしておく必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| RDS.36 | RDS for PostgreSQL DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| RDS.37 | Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| RDS.38 | RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| RDS.39 | RDS for MySQL DB インスタンスは転送中に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| RDS.40 | RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| RDS.41 | RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| RDS.42 | RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| RDS.43 | RDS DB プロキシの接続には TLS 暗号化が必要です | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| RDS.44 | RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| RDS.45 | Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| RDS.46 | RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません | AWS基本的なセキュリティのベストプラクティス | 高 | 定期的 | |
| RDS.47 | タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 低 | 変更によってトリガーされる | |
| RDS.48 | タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります | AWS基本的なセキュリティのベストプラクティス | 低 | 変更によってトリガーされる | |
| Redshift.1 | Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 重大 | |
変更によってトリガーされる |
| Redshift.2 | Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| Redshift.3 | Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.4 | Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| Redshift.6 | Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.7 | Redshift クラスターは拡張 VPC ルーティングを使用する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.8 | Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.10 | Redshift クラスターは保存時に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.11 | Redshift クラスターにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Redshift.12 | Redshift イベントサブスクリプション通知にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Redshift.13 | Redshift クラスタースナップショットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Redshift.14 | Redshift クラスターサブネットグループはタグ付けする必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Redshift.15 | Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 定期的 | |
| Redshift.16 | Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| Redshift.17 | Redshift クラスターパラメータグループはタグ付けする必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Redshift.18 | Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| RedshiftServerless.1 | Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります | AWS基本的なセキュリティのベストプラクティス | 高 | 定期的 | |
| RedshiftServerless.2 | SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| RedshiftServerless.3 | Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります | AWS基本的なセキュリティのベストプラクティス | 高 | 定期的 | |
| RedshiftServerless.4 | Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要がありますAWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| RedshiftServerless.5 | Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| RedshiftServerless.6 | Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| Route53.1 | Route 53 ヘルスチェックにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Route53.2 | Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| S3.1 | S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | 定期的 | |
| S3.2 | S3 汎用バケットではパブリック読み取りアクセスをブロックする必要があります | AWSFoundational Security Best Practices、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | 変更によるトリガーと定期的なトリガー | |
| S3.3 | S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。 | AWSFoundational Security Best Practices、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | 変更によるトリガーと定期的なトリガー | |
| S3.5 | S3 汎用バケットではリクエストに SSL を使用する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| S3.6 | S3 汎用バケットポリシーは、他の へのアクセスを制限する必要がありますAWS アカウント | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 高 | 変更によってトリガーされる | |
| S3.7 | S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.8 | S3 汎用バケットではパブリックアクセスをブロックする必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 高 | 変更によってトリガーされる | |
| S3.9 | S3 汎用バケットでは、サーバーアクセスログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| S3.10 | バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.11 | S3 汎用バケットでは、イベント通知を有効にする必要があります | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | 変更によってトリガーされる | |
| S3.12 | ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しません | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.13 | S3 汎用バケットにはライフサイクル設定が必要です | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.14 | S3 汎用バケットでは バージョニングが有効になっている必要があります | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | 変更によってトリガーされる | |
| S3.15 | S3 汎用バケットでは Object Lock が有効になっている必要があります | NIST SP 800-53 Rev. 5、CI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| S3.17 | S3 汎用バケットは保管時に で暗号化する必要がありますAWS KMS keys | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | 変更によってトリガーされる | |
| S3.19 | S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 重大 | 変更によってトリガーされる | |
| S3.20 | S3 汎用バケットでは MFA 削除が有効になっている必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、CIS AWSFoundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.22 | S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、PCI DSS v4.0.1 | 中 | 定期的 | |
| S3.23 | S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります | CIS AWSFoundations Benchmark v5.0.0、CIS AWSFoundations Benchmark v3.0.0、PCI DSS v4.0.1 | 中 | 定期的 | |
| S3.24 | S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWSFoundational Security Best Practices、PCI DSS v4.0.1 | 高 | 変更によってトリガーされる | |
| S3.25 | S3 ディレクトリバケットにはライフサイクル設定が必要です | AWS基本的なセキュリティのベストプラクティス | 低 | 変更によってトリガーされる | |
| SageMaker.1 | Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 高 | |
定期的 |
| SageMaker.2 | SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| SageMaker.3 | ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 高 | |
変更によってトリガーされる |
| SageMaker.4 | SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| SageMaker.5 | SageMaker モデルでは、ネットワーク分離を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| SageMaker.6 | SageMaker アプリのイメージ設定にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| SageMaker.7 | SageMaker イメージにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| SageMaker.8 | SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| SecretsManager.1 | Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| SecretsManager.2 | 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| SecretsManager.3 | 未使用の Secrets Manager のシークレットを削除します | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| SecretsManager.4 | Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期的 |
| SecretsManager.5 | Secrets Manager シークレットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| ServiceCatalog.1 | Service Catalog ポートフォリオはAWS組織内でのみ共有する必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| SES.1 | SES 連絡先リストにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| SES.2 | SES 設定セットにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| SES.3 | SES 設定セットでは、TLS を有効にして E メールを送信する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| SNS.1 | SNS トピックは、保管時に を使用して暗号化する必要がありますAWS KMS | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | 変更によってトリガーされる | |
| SNS.3 | SNS トピックにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| SNS.4 | SNS トピックアクセスポリシーでパブリックアクセスを許可しないでください | AWS基本的なセキュリティのベストプラクティス | 重大 | 変更によってトリガーされる | |
| SQS.1 | Amazon SQS キューは保管中に暗号化する必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| SQS.2 | SQS キューにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| SQS.3 | SNS キューアクセスポリシーでパブリックアクセスを許可しないでください | AWS基本的なセキュリティのベストプラクティス | 重大 | 変更によってトリガーされる | |
| SSM.1 | EC2 インスタンスは によって管理する必要がありますAWS Systems Manager | AWSFoundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| SSM.2 | Systems Manager によって管理される EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 高 | |
変更によってトリガーされる |
| SSM.3 | Systems Manager によって管理される EC2 インスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 低 | |
変更によってトリガーされる |
| SSM.4 | SSM ドキュメントはパブリックにしないでください | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| SSM.5 | SSM ドキュメントにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| SSM.6 | SSM Automation では CloudWatch ログ記録が有効になっている必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 中 | 定期的 | |
| SSM.7 | SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります | AWS基本的なセキュリティのベストプラクティス v1.0.0 | 重大 | 定期的 | |
| StepFunctions.1 | Step Functions ステートマシンでは、ログ記録がオンになっている必要があります | AWSFoundational Security Best Practices v1.0.0、PCI DSS v4.0.1 | 中 | |
変更によってトリガーされる |
| StepFunctions.2 | Step Functions アクティビティにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Transfer.1 | Transfer Family ワークフローにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Transfer.2 | Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 定期的 | |
| Transfer.3 | Transfer Family コネクタでは、ログ記録が有効になっている必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| 転送.4 | Transfer Family 契約にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Transfer.5 | Transfer Family 証明書にはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Transfer.6 | Transfer Family コネクタにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| Transfer.7 | Transfer Family プロファイルにはタグを付ける必要があります | AWSリソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| WAF.1 | AWSWAF Classic グローバルウェブ ACL ログ記録を有効にする必要があります | AWSFoundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期的 |
| WAF.2 | AWSWAF Classic リージョンルールには少なくとも 1 つの条件が必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.3 | AWSWAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.4 | AWSWAF Classic リージョンウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.6 | AWSWAF Classic グローバルルールには少なくとも 1 つの条件が必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.7 | AWSWAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.8 | AWSWAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.10 | AWSWAF ウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.11 | AWSWAF ウェブ ACL ログ記録を有効にする必要があります | NIST SP 800-53 Rev. 5、CI DSS v4.0.1 | 低 | |
定期的 |
| WAF.12 | AWSWAF ルールでは CloudWatch メトリクスを有効にする必要があります | AWSFoundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
変更によってトリガーされる |
| WorkSpaces.1 | WorkSpaces ユーザーボリュームは保管時に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる | |
| WorkSpaces.2 | WorkSpaces ルートボリュームは保管時に暗号化する必要があります | AWS基本的なセキュリティのベストプラクティス | 中 | 変更によってトリガーされる |
