翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Hub CSPM コントロールAWS WAF
これらのAWS Security Hub CSPMコントロールは、AWS WAFサービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[WAF.1]AWS WAFClassic Global Web ACL ログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::WAF::WebACL
AWS Config ルール : waf-classic-logging-enabled
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、AWS WAFグローバルウェブ ACL でログ記録が有効になっているかどうかをチェックします。ウェブ ACL のログ記録が有効でない場合、このコントロールは失敗します。
ログ記録は、 の信頼性、可用性、パフォーマンスをAWS WAFグローバルに維持する上で重要な部分です。これは、多くの組織でビジネスおよびコンプライアンス要件であり、アプリケーションの動作をトラブルシューティングできます。また、AWS WAF に添付済みのウェブ ACL によって分析されるトラフィックに関する詳細情報も提供します。
修正
AWS WAFウェブ ACL のログ記録を有効にするには、「 AWS WAFデベロッパーガイド」の「ウェブ ACL トラフィック情報のログ記録」を参照してください。
[WAF.2]AWS WAFクラシックリージョンルールには少なくとも 1 つの条件が必要です
関連する要件: NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFRegional::Rule
AWS Config ルール : waf-regional-rule-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAFリージョンルールに少なくとも 1 つの条件があるかどうかをチェックします。ルールに条件が 1 つもない場合、このコントロールは失敗します。
WAF リージョンルールには、複数の条件を含めることが可能です。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件がないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF リージョンルールは、上記いずれかのアクションが行われているという誤解を生む可能性があります。
修正
空のルールに条件を追加する方法については、には、「AWS WAF デベロッパーガイド」の「Adding and removing conditions in a rule」を参照してください。
[WAF.3]AWS WAFClassic リージョンルールグループには少なくとも 1 つのルールが必要です
関連する要件: NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFRegional::RuleGroup
AWS Config ルール : waf-regional-rulegroup-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAFリージョンルールグループに少なくとも 1 つのルールがあるかどうかをチェックします。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。
WAF リージョンルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールはないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF リージョンルールグループは、上記いずれかのアクションが行われているという誤解を生む可能性があります。
修正
空のルールグループにルールとルール条件を追加するには、「 AWS WAFデベロッパーガイド」のAWS WAF「 Classic ルールグループへのルールの追加と削除」および「ルールの条件の追加と削除」を参照してください。
[WAF.4]AWS WAFClassic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFRegional::WebACL
AWS Config ルール : waf-regional-webacl-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAF Classic Regionalウェブ ACL に WAF ルールまたは WAF ルールグループが含まれているかどうかをチェックします。ウェブ ACL に WAF ルールまたはルールグループが含まれていない場合、このコントロールは失敗します。
WAF リージョンウェブ ACL には、ウェブリクエストを検査および制御する、ルールおよびルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、デフォルトのアクションに応じて WAF による検出または処理なしに通過できます。
修正
空の AWS WAFClassic Regional Web ACL にルールまたはルールグループを追加するには、「 AWS WAFデベロッパーガイド」の「ウェブ ACL の編集」を参照してください。
[WAF.6]AWS WAFClassic グローバルルールには少なくとも 1 つの条件が必要です
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAF::Rule
AWS Config ルール : waf-global-rule-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAFグローバルルールに条件が含まれているかどうかをチェックします。ルールに条件が 1 つもない場合、このコントロールは失敗します。
WAF グローバルルールには、複数の条件を含めることが可能です。ルールの条件によってトラフィックの検査が可能になり、定義されたアクション (許可、ブロック、カウント) を実行できます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件はないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF グローバルルールは、上記いずれかのアクションが行われているという誤解を生む可能性があります。
修正
ルールの作成方法および条件の追加方法については、「AWS WAF デベロッパーガイド」の「Creating a rule and adding conditions」を参照してください。
[WAF.7]AWS WAFClassic グローバルルールグループには少なくとも 1 つのルールが必要です
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAF::RuleGroup
AWS Config ルール : waf-global-rulegroup-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAFグローバルルールグループに少なくとも 1 つのルールがあるかどうかをチェックします。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。
WAF グローバルルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールはないにもかかわらず、許可、ブロック、カウントを示す名前またはタグが付いている WAF グローバルルールグループは、上記いずれかのアクションが行われているという誤解を生む可能性があります。
修正
ルールグループにルールを追加する手順については、 AWS WAFデベロッパーガイドの AWS WAFClassic ルールグループの作成を参照してください。
[WAF.8]AWS WAFClassic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です
関連する要件: NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAF::WebACL
AWS Config ルール : waf-global-webacl-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAFグローバルウェブ ACL に少なくとも 1 つの WAF ルールまたは WAF ルールグループが含まれているかどうかをチェックします。ウェブ ACL に WAF ルールまたはルールグループが含まれていない場合、このコントロールは失敗します。
WAF グローバルウェブ ACL には、ウェブリクエストを検査および制御するルールおよびルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、デフォルトのアクションに応じて WAF による検出または処理なしに通過できます。
修正
空のAWS WAFグローバルウェブ ACL にルールまたはルールグループを追加するには、「 AWS WAFデベロッパーガイド」の「ウェブ ACL の編集」を参照してください。[Filter] (フィルター) で [Global (CloudFront)] (グローバル (CloudFront)) を選択します。
[WAF.10]AWS WAFウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFv2::WebACL
AWS Config ルール : wafv2-webacl-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAFV2 ウェブアクセスコントロールリスト (ウェブ ACL) に少なくとも 1 つのルールまたはルールグループが含まれているかどうかをチェックします。ウェブ ACL にルールまたはルールグループが含まれていない場合、このコントロールは失敗します。
ウェブ ACL を使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。ウェブ ACL には、ウェブリクエストを検査および制御するルールおよびルールグループのコレクションを含める必要があります。ウェブ ACL が空の場合、デフォルトのアクションAWS WAFに応じて、ウェブトラフィックは検出されず、 によって処理されずに通過できます。
修正
ルールまたはルールグループを空の WAFV2 ウェブ ACL に追加するには、「AWS WAF デベロッパーガイド」の「Editing a Web ACL」を参照してください。
[WAF.11]AWS WAFウェブ ACL ログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 低
リソースタイプ : AWS::WAFv2::WebACL
AWS Configルール: wafv2-logging-enabled
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、AWS WAFV2 ウェブアクセスコントロールリスト (ウェブ ACL) のログ記録が有効になっているかどうかを確認します。ウェブ ACL のログ記録が無効の場合、このコントロールは失敗します。
注記
このコントロールは、Amazon Security Lake を介してアカウントに対してAWS WAFウェブ ACL ログ記録が有効になっているかどうかをチェックしません。
ログ記録は、 の信頼性、可用性、パフォーマンスを維持しますAWS WAF。また、多くの組織において、ログ記録はビジネスおよびコンプライアンス要件となっています。ウェブ ACL で分析されたトラフィックをログに記録することで、アプリケーションの挙動のトラブルシューティングができます。
修正
AWS WAFウェブ ACL のログ記録を有効にするには、「 AWS WAFデベロッパーガイド」の「ウェブ ACL のログ記録の管理」を参照してください。
[WAF.12] AWS WAFルールでは CloudWatch メトリクスを有効にする必要があります
関連する要件: NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::WAFv2::RuleGroup
AWS Configルール: wafv2-rulegroup-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS WAFルールまたはルールグループで Amazon CloudWatch メトリクスが有効になっているかどうかを確認します。ルールまたはルールグループで CloudWatch メトリクスが有効になっていない場合、コントロールは失敗します。
AWS WAFルールとルールグループで CloudWatch メトリクスを設定すると、トラフィックフローを可視化できます。どの ACL ルールがトリガーされ、どのリクエストが受け入れられブロックされたかを確認できます。この可視性は、関連リソースでの悪意のあるアクティビティを特定するのに役立ちます。
修正
AWS WAFルールグループで CloudWatch メトリクスを有効にするには、UpdateRuleGroup API を呼び出します。AWS WAFルールで CloudWatch メトリクスを有効にするには、UpdateWebACL API を呼び出します。CloudWatchMetricsEnabled フィールドは true に設定されます。AWS WAFコンソールを使用してルールまたはルールグループを作成すると、CloudWatch メトリクスが自動的に有効になります。
