セキュリティ

説明

Amazon CloudWatch ロググループの保持期間が 365 日に設定されているか、その他の指定された数に設定されているかをチェックします。

デフォルトでは、ログは無制限に保持され、失効しません。ただし、業界の規制や特定の期間の法的要件に準拠するように、ロググループごとに保持ポリシーを調整することができます。

ルールの LogGroupNames and MinRetentionTime パラメータ AWS Config を使用して、最小保持時間とロググループ名を指定できます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

チェック ID

c18d2gz186

ソース

AWS Config Managed Rule: cw-loggroup-retention-period-check

アラート条件

黄: Amazon CloudWatch ロググループの保持期間が、希望する最小日数を下回っています。

[Recommended Action] (推奨されるアクション)

コンプライアンス要件を満たすために、Amazon Logs に保存されているログデータの保持期間を 365 CloudWatch 日以上に設定します。

詳細については、「ログのログデータ保持期間の変更 CloudWatch 」を参照してください。

その他のリソース

CloudWatch ログ保持の変更

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

直近 24 時間以内に実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの SQL Server バージョンをチェックします。このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、または終了している場合に警告を受け取ります。SQL Server の各バージョンでは、5 年間のメインストリームサポートと 5 年間の延長サポートを含む 10 年間のサポートが提供されます。サポートの終了後には、SQL Server バージョンは定期的なセキュリティ更新を受け取らなくなります。サポートされていないバージョンの SQL Server でアプリケーションを実行すると、セキュリティまたはコンプライアンスのリスクが生じる可能性があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

チェック ID

Qsdfp3A4L3

アラート条件

赤: EC2 インスタンスには、サポートが終了した SQL Server バージョンがあります。
黄: EC2 インスタンスには、12 か月以内にサポートが終了する SQL Server バージョンがあります。

[Recommended Action] (推奨されるアクション)

SQL Server のワークロードをモダナイズするには、Amazon Aurora などの AWS クラウドネイティブデータベースへのリファクタリングを検討してください。詳細については、「を使用した Windows ワークロードのモダナイズ AWS」を参照してください。

フルマネージドデータベースに移行するには、Amazon Relational Database Service (Amazon RDS) への再プラットフォーム化を検討します。詳細については、「Amazon RDS for SQL Server」を参照してください。

Amazon EC2 で SQL Server をアップグレードするには、オートメーションランブックを使用してアップグレードを簡素化することを検討してください。詳細については、「AWS Systems Manager ドキュメント」を参照してください。

Amazon EC2 で SQL Server をアップグレードできない場合は、Windows Server 向けサポート終了移行プログラム (EMP) を検討してください。詳細については、EMP のウェブサイトを参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
[インスタンス ID]
SQL Server バージョン
サポートサイクル
サポートの終了
最終更新日時

説明

このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、または終了している場合に警告を受け取ります。Windows Server の各バージョンは、10 年間のサポートを提供しています。これには、5 年間のメインストリームサポートと 5 年間の延長サポートが含まれます。サポートの終了後には、Windows Server バージョンは定期的なセキュリティ更新を受け取らなくなります。Windows Server の未サポートのバージョンでアプリケーションを実行すると、アプリケーションのセキュリティやコンプライアンスにリスクが生じます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

チェック ID

Qsdfp3A4L4

アラート条件

赤: EC2 インスタンスには、サポートが終了している Windows Server バージョン (Windows Server 2003、2003 R2、2008、2008 R2) があります。
黄: EC2 インスタンスには、18 か月以内にサポートが終了する Windows Server バージョン (Windows Server 2012、2012 R2) があります。

[Recommended Action] (推奨されるアクション)

Windows Server ワークロードをモダナイズするには、で Windows ワークロードのモダナイズ AWSで使用できるさまざまなオプションを検討してください。

Windows Server ワークロードをアップグレードしてより新しいバージョンの Windows Server で実行するときは、自動化ランブックを使用できます。詳細については、AWS Systems Manager のドキュメントを参照してください。

以下の一連の手順に従ってください。

Windows Server のバージョンのアップグレード
アップグレードの際のハードの停止と起動
EC2Config を使用している場合は、EC2Launch に移行してください。

[Report columns] (レポート列)

ステータス
リージョン
[インスタンス ID]
Windows Server バージョン
サポートサイクル
サポートの終了
最終更新日時

説明

このチェックでは、ご利用のバージョンのサポートが終了に近づいているか、終了している場合に警告します。次の LTS に移行するか Ubuntu Pro にアップグレードすることで、対策を講じることが重要です。サポート終了後、18.04 LTS のマシンはセキュリティ更新を受信できなくなります。Ubuntu Pro サブスクリプションを利用すると、Ubuntu 18.04 LTS デプロイは 2028 年まで Expanded Security Maintenance (ESM) を受け取ることができます。パッチが適用されていないセキュリティの脆弱性により、システムがハッカーにさらされ、重大な侵害が発生する可能性があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

チェック ID

c1dfprch15

アラート条件

赤: Amazon EC2 インスタンスに、標準サポートが終了した Ubuntu バージョン (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.6 LTS)

黄色: Amazon EC2 インスタンスに、6 か月以内に標準サポートが終了する Ubuntu バージョン (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS、20.04.6 LTS) が含まれています。

緑: すべての Amazon EC2 インスタンスが準拠しています。

[Recommended Action] (推奨されるアクション)

Ubuntu 18.04 LTS インスタンスをサポートされている LTS バージョンにアップグレードするには、こちらの記事に記載されている手順に従ってください。Ubuntu 18.04 LTS インスタンスを Ubuntu Pro にアップグレードするには、 AWS License Manager コンソールにアクセスし、「AWS License Manager ユーザーガイド」に記載された手順に従ってください。Ubuntu インスタンスを Ubuntu Pro にアップグレードする手順を説明したデモをご覧いただける Ubuntu ブログも参照してください。

その他のリソース

料金については、AWS Support にお問い合わせください。

[Report columns] (レポート列)

ステータス
リージョン
Ubuntu LTS バージョン
サポートの終了予定日
[インスタンス ID]
サポートサイクル
最終更新日時

説明

Amazon EFS ファイルシステムが data-in-transit 暗号化を使用してマウントされているかどうかを確認します。 AWS では、すべてのデータフローに data-in-transit 暗号化を使用して、データを偶発的な漏洩や不正アクセスから保護することをお勧めします。Amazon EFS では、Amazon EFS マウントヘルパーを使用して「-o tls」によるマウント設定を使用し、TLS v1.2 を使用して転送中のデータを暗号化することを推奨しています。

チェック ID

c1dfpnchv1

アラート条件

黄: Amazon EFS ファイルシステムの 1 つ以上の NFS クライアントが、 data-in-transit 暗号化を提供する推奨マウント設定を使用していません。

緑: Amazon EFS ファイルシステムのすべての NFS クライアントは、 data-in-transit 暗号化を提供する推奨マウント設定を使用しています。

[Recommended Action] (推奨されるアクション)

Amazon EFS の data-in-transit 暗号化機能を利用するには、Amazon EFS マウントヘルパーと推奨マウント設定を使用してファイルシステムを再マウントすることをお勧めします。 EFS

注記

一部の Linux ディストリビューションには、TLS 機能をサポートする stunnel のバージョンがデフォルトで含まれていません。サポートされていない Linux ディストリビューション (サポートされているディストリビューションはこちらを参照) を使用している場合は、推奨されるマウント設定で再マウントする前にアップグレードすることをお勧めします。

その他のリソース

Encrypting data in transit

[Report columns] (レポート列)

ステータス
リージョン
EFS ファイルシステム ID
接続が暗号化されていない AZ
最終更新日時

説明

Amazon Elastic Block Store (Amazon EBS) ボリュームスナップショットのアクセス許可設定をチェックし、スナップショットが一般にアクセス可能である場合に警告します。

スナップショットを公開すると、すべての AWS アカウントとユーザーにスナップショット上のすべてのデータへのアクセス許可が付与されます。特定のユーザーまたはアカウントとのみスナップショットを共有するには、スナップショットをプライベートとしてマークします。次に、スナップショットデータを共有するユーザーまたはアカウントを指定します。ブロックパブリックアクセスを「すべての共有をブロック」モードで有効にしている場合、パブリックスナップショットはパブリックにアクセスできず、このチェックの結果に表示されないことに注意してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

チェック ID

ePs02jT06w

アラート条件

赤: EBS ボリュームスナップショットはパブリックにアクセス可能です。

[Recommended Action] (推奨されるアクション)

スナップショット内のすべてのデータをすべての AWS アカウントおよびユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「Amazon EBS スナップショットの共有」を参照してください。EBS スナップショットのパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。このチェックを Trusted Advisor コンソールのビューから除外することはできません。

スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用します。詳細については、「AWSSupport-ModifyEBSSnapshotPermission」を参照してください。

その他のリソース

Amazon EBS スナップショット

[Report columns] (レポート列)

ステータス
リージョン
ボリューム ID
スナップショット ID
説明

説明

Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

Aurora DB クラスターの作成時に暗号化が有効になっていない場合は、復号化されたスナップショットを暗号化された DB クラスターに復元する必要があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

注記

DB インスタンスまたは DB クラスターが停止すると、Amazon RDS のレコメンデーションを Trusted Advisor で 3～5 日間表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連するレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt005

アラート条件

赤: Amazon RDS Aurora リソースでは暗号化が有効になっていません。

[Recommended Action] (推奨されるアクション)

DB クラスターの保管中のデータの暗号化を有効にします。

その他のリソース

DB インスタンスの作成時に暗号化を有効にすることも、回避策を使用してアクティブな DB インスタンスの暗号化を有効にすることもできます。復号化された DB クラスターを暗号化された DB クラスターに変更することはできません。ただし、複合化されたスナップショットを暗号化された DB クラスターに復元することはできます。復号化されたスナップショットから復元する場合は、 AWS KMS キーを指定する必要があります。

詳細については、「Amazon Aurora リソースの暗号化」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
エンジン名
最終更新日時

説明

データベースリソースで最新のマイナー DB エンジンバージョンが実行されていません。最新のマイナーバージョンには、最新のセキュリティ修正プログラムやその他の改善が含まれています。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

注記

DB インスタンスまたは DB クラスターが停止すると、Amazon RDS のレコメンデーションを Trusted Advisor で 3～5 日間表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連するレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt003

アラート条件

赤: Amazon RDS リソースで最新のマイナー DB エンジンバージョンが実行されていません。

[Recommended Action] (推奨されるアクション)

最新バージョンにアップグレードします。

その他のリソース

最新の DB エンジンのマイナーバージョンには、最新のセキュリティと機能の修正が含まれているため、このバージョンでデータベースを保守することをお勧めします。DB エンジンのマイナーバージョンのアップグレードには、DB エンジンの同じメジャーバージョンの以前のマイナーバージョンと後方互換性のあるデータベースの変更のみが含まれます。

詳細については、「DB インスタンスのエンジンバージョンのアップグレード」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
エンジン名
現行のエンジンバージョン
推奨値
最終更新日時

説明

Amazon Relational Database Service (Amazon RDS) DB スナップショットのアクセス許可設定をチェックし、スナップショットがパブリックとしてマークされている場合に警告します。

スナップショットを公開すると、すべての AWS アカウントとユーザーにスナップショット上のすべてのデータへのアクセス許可が付与されます。スナップショットを特定のユーザーまたはアカウントをのみ共有する場合は、そのスナップショットをプライベートとしてマークします。その後にスナップショットデータを共有するユーザーまたはアカウントを指定します。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。

チェック ID

rSs93HQwa1

アラート条件

赤: Amazon RDS スナップショットはパブリックとしてマークされています。

[Recommended Action] (推奨されるアクション)

スナップショット内のすべてのデータをすべての AWS アカウントおよびユーザーと共有することが確実でない限り、アクセス許可を変更します。スナップショットをプライベートとしてマークし、アクセス許可を付与するアカウントを指定します。詳細については、「DB スナップショットまたは DB クラスタースナップショットの共有」を参照してください。このチェックを Trusted Advisor コンソールのビューから除外することはできません。

スナップショットのアクセス許可を直接変更するには、 AWS Systems Manager コンソールでランブックを使用できます。詳細については、「AWSSupport-ModifyRDSSnapshotPermission」を参照してください。

その他のリソース

Amazon RDS DB インスタンスのバックアップと復元

[Report columns] (レポート列)

ステータス
リージョン
DB インスタンスまたはクラスター ID
スナップショット ID

説明

Amazon Relational Database Service（Amazon RDS）のセキュリティグループ設定をチェックし、セキュリティグループルールでデータベースへの過度なアクセスが許可されている場合に警告します。セキュリティグループルールの推奨設定は、特定の Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループまたは特定の IP アドレスからのアクセスのみを許可することです。

チェック ID

nNauJisYIT

アラート条件

黄: DB セキュリティグループルールは、次のポートのいずれかでグローバルアクセス権を付与する Amazon EC2 セキュリティグループを参照しています: 20、21、22、1433、1434、3306、3389、4333、5432、5500。
黄: DB セキュリティグループルールは、複数の IP アドレスへのアクセス権を付与します (CIDR ルールのサフィックスは /0 または /32 ではありません)。
赤: DB セキュリティグループルールはグローバルアクセス権を付与します (CIDR ルールのサフィックスは /0)。

[Recommended Action] (推奨されるアクション)

セキュリティグループルールを確認し、許可された IP アドレスまたは IP 範囲にアクセスを制限します。セキュリティグループを編集するには、AuthorizeDBSecurityGroup Ingress API またはを使用します AWS Management Console。詳細については、「DB セキュリティグループの操作」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
RDS セキュリティグループ名
受信ルール
理由

説明

Amazon RDS では、 AWS Key Management Serviceで管理しているキーを使用して、すべてのデータベースエンジンの保存時の暗号化をサポートしています。Amazon RDS 暗号化を使用するアクティブな DB インスタンスでは、ストレージに保存されているデータは、自動バックアップ、リードレプリカ、スナップショットのように暗号化されます。

DB インスタンスの作成時に暗号化が有効になっていない場合は、暗号化を有効にする前に、復号化されたスナップショットの暗号化されたコピーを復元する必要があります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

注記

DB インスタンスまたは DB クラスターが停止すると、Amazon RDS のレコメンデーションを Trusted Advisor で 3～5 日間表示できます。5 日後、レコメンデーションはでは使用できません Trusted Advisor。推奨事項を表示するには、Amazon RDS コンソールを開いて [推奨事項] を選択します。

DB インスタンスまたは DB クラスターを削除すると、それらのインスタンスまたはクラスターに関連するレコメンデーションは、 Trusted Advisor または Amazon RDS マネジメントコンソールでは使用できません。

チェック ID

c1qf5bt006

アラート条件

赤: Amazon RDS リソースでは暗号化が有効になっていません。

[Recommended Action] (推奨されるアクション)

DB インスタンスの保管中のデータの暗号化を有効にします。

その他のリソース

DB インスタンスを暗号化できるのは、DB インスタンスを作成するときだけです。既存のアクティブな DB インスタンスを暗号化するには:

元の DB インスタンスの暗号化されたコピーを作成する

DB インスタンスのスナップショットを作成します。
ステップ 1 で作成したスナップショットの暗号化されたコピーを作成します。
暗号化されたスナップショットから DB インスタンスを復元します。

詳細については、以下のリソースを参照してください。

Amazon RDS リソースを暗号化する
DB スナップショットのコピー

[Report columns] (レポート列)

ステータス
リージョン
リソース
エンジン名
最終更新日時

説明

Amazon S3 バケットのホスト名を直接指す CNAME レコードを持つ Amazon Route 53 ホストゾーンをチェックし、CNAME が S3 バケット名と一致しない場合にアラートを出します。

チェック ID

c1ng44jvbm

アラート条件

赤: Amazon Route 53 ホストゾーンに、S3 バケットのホスト名の不一致を示す CNAME レコードがあります。

緑: Amazon Route 53 ホストゾーンと一致しない CNAME レコードはありませんでした。

[Recommended Action] (推奨されるアクション)

CNAME レコードを S3 バケットのホスト名に指定する場合は、設定した CNAME またはエイリアスレコードと一致するバケットが存在することを確認する必要があります。これにより、CNAME レコードが偽装されるリスクを回避できます。また、権限のない AWS ユーザーがドメインで欠陥または悪意のあるウェブコンテンツをホストしないようにします。

CNAME レコードが S3 バケットのホスト名に直接向けられないようにするには、オリジンアクセスコントロール (OAC) を使用して Amazon 経由で S3 バケットのウェブアセットにアクセスすることを検討してください CloudFront。

CNAME を Amazon S3 バケットのホスト名に関連付ける方法の詳細については、「CNAME レコードを使用した Amazon S3 URL のカスタマイズ」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
ホストゾーン ID
ホストゾーン ARN
一致する CNAME レコード
一致しない CNAME レコード
最終更新日時

説明

各 MX リソースレコードセットについて、有効な SPF レコードが TXT または SPF リソースレコードセットに含まれていることをチェックします。レコードは「v=spf1」で始まる必要があります。SPF レコードは、ドメインの E メールの送信が許可されているサーバーを指定します。これにより、E メールアドレスのスプーフィングを検出して停止し、スパムを削減できます。Route 53 では、SPF レコードの代わりに TXT レコードを使用することを推奨しています。各 MX リソースレコードセットに少なくとも 1 つの SPF レコードまたは TXT レコードがある限り、はこのチェックを緑として Trusted Advisor 報告します。

チェック ID

c9D319e7sG

アラート条件

黄: MX リソースレコードセットには、有効な SPF 値を含む TXT または SPF のリソースレコードがありません。

[Recommended Action] (推奨されるアクション)

MX リソースレコードセットごとに、有効な SPF 値を含む TXT リソースレコードセットを作成します。詳細については、「Sender Policy Framework: SPF Record Syntax」(Sender Policy Framework: SPF レコード構文) および「Amazon Route 53 コンソールを使用したリソースレコードセットの作成」を参照してください。

その他のリソース

[Report columns] (レポート列)

ホストゾーン名
ホストゾーン ID
リソースレコードセット名
ステータス

説明

Amazon Simple Storage Service (Amazon S3) で、オープンアクセス許可を持つバケット、または認証された AWS ユーザーへのアクセスを許可するバケットをチェックします。

このチェックでは、明示的なバケットアクセス許可、およびそのアクセス許可をオーバーライドする可能性のあるバケットポリシーが調べられます。Amazon S3 バケットのすべてのユーザーにリストアクセス許可を付与することは推奨されません。これらのアクセス許可により、意図しないユーザーがバケット内のオブジェクトを頻繁にリストすることがあります。結果として、予想される料金よりも高くなる可能性があります。すべてのユーザーにアップロードと削除のアクセス許可を付与すると、バケットのセキュリティの脆弱性が生じる可能性があります。

チェック ID

Pfx0RwqBli

アラート条件

黄色: バケット ACL では、[全員] または [認証済みの AWS ユーザー] に対して「リスト」アクセスが許可されます。
黄: バケットポリシーは、あらゆる種類のオープンアクセスを許可します。
黄: バケットポリシーには、パブリックアクセス権を付与するステートメントがあります。[Block public and cross-account access to buckets that have public policies] (パブリックポリシーが設定されているバケットへのパブリックアクセスとクロスアカウントアクセスをブロック) がオンになり、パブリックステートメントが削除されるまで、そのアカウントの許可されたユーザーのみにアクセスが制限されます。
黄：ポリシーを確認するアクセス許可 Trusted Advisor がないか、他の理由でポリシーを評価できませんでした。
赤色: バケット ACL では、[全員] または [認証済みの AWS ユーザー] に対して「アップロード」および「削除」アクセスが許可されます。

[Recommended Action] (推奨されるアクション)

バケットがオープンアクセスを許可している場合、オープンアクセスが本当に必要かどうかを判断します。必要でない場合は、バケットの許可を更新して、所有者または特定のユーザーへのアクセスを制限します。Amazon S3 のパブリックアクセスのブロックを使用して、データへのパブリックアクセスを許可する設定を管理します。「バケットとオブジェクトのアクセス許可の設定」を参照してください。

その他のリソース

Managing Access Permissions to Your Amazon S3 Resources (Amazon S3 リソースへのアクセス許可の管理)

[Report columns] (レポート列)

ステータス
リージョン名
リージョン API パラメータ
バケット名
ACL でリストを許可
ACL でアップロード/削除を許可
ポリシーでアクセスを許可

説明

Amazon Simple Storage Service バケットのログ記録設定を確認します。

サーバーアクセスログが有効になっている場合、詳細なアクセスログは、選択したバケットに 1 時間ごとに配信されます。アクセスログには、リクエストのタイプ、リクエストで指定されたリソース、リクエストが処理された日時など、各リクエストの詳細が記録されます。デフォルトでは、バケットのログは有効になっていません。セキュリティ監査を実行する場合、またはユーザーと使用パターンについて詳しく知りたい場合は、ログを有効にする必要があります。

ログが最初に有効になっている場合、設定が自動的に検証されます。ただし、今後の変更により、ログが失敗する可能性があります。このチェックでは、explicitAmazon S3 バケットのアクセス許可を調べます。バケットポリシーを使用してバケットのアクセス許可を制御するのがベストプラクティスですが、ACLsも使用できます。

チェック ID

c1fd6b96l4

アラート条件

黄: バケットでサーバーアクセスのログ記録が有効になっていません。
黄: ターゲットバケットの許可にルートアカウントが含まれていないため、 Trusted Advisor は確認できません。
赤: ターゲットバケットが存在しません。
赤: ターゲットバケットとソースバケットの所有者が異なります。
赤: ログ配信者には、ターゲットバケットに対する書き込み許可がありません。
緑: バケットでサーバーアクセスのログ記録が有効になっている、ターゲットが存在する、ターゲットに書き込むアクセス許可が存在する

[Recommended Action] (推奨されるアクション)

ほとんどのバケットでバケットログ記録を有効にします。「Enabling Logging Using the Console」(コンソールを使用してログ記録を有効にする) および「Enabling Logging Programmatically」(プログラムを使用してログ記録を有効にする) を参照してください。

ターゲットバケットの許可にルートアカウントが含まれておらず、 Trusted Advisor にログ記録ステータスを確認させる場合は、ルートアカウントを被付与者として追加します。「Editing Bucket Permissions」(バケット許可の編集) を参照してください。

ターゲットバケットが存在しない場合は、既存のバケットをターゲットとして選択するか、新しいバケットを作成して選択します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

ターゲットとソースの所有者が異なる場合は、ターゲットバケットを、ソースバケットと同じ所有者を持つバケットに変更します。「Managing Bucket Logging」(バケットのログ記録の管理) を参照してください。

ログ配信元にターゲットに対する書き込みアクセス許可がない場合 (書き込みが有効でない）、ログ配信グループにアップロード/削除アクセス許可を付与します。ACLs ではなくバケットポリシーを使用することをお勧めします。「ログ配信のバケットのアクセス許可とアクセス許可の編集」を参照してください。 https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#grant-log-delivery-permissions-general

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソースARN
バケット名
ターゲット名
ターゲットが存在
同じ所有者
書き込み有効
理由
最終更新日時

説明

VPC ピアリング接続で、アクセプターとリクエスター VPC の両方の DNS 解決が有効になっているかどうかを確認します。

VPC ピアリング接続の DNS 解決により、パブリック DNS ホスト名がプライベート IPv4 アドレスに解決されるように VPC からクエリを実行することができます。これにより、ピアリングされた VPC 内のリソース間の通信に DNS 名を使用できるようになります。VPC ピアリング接続の DNS 解決により、アプリケーションの開発と管理が簡単になり、エラーが発生しにくくなります。また、リソースは常に VPC ピアリング接続を介してプライベートに通信できます。

AWS Config ルールの vpcIds IDs、VPC ID を指定できます。

詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

チェック ID

c18d2gz124

ソース

AWS Config Managed Rule: vpc-peering-dns-resolution-check

アラート条件

黄: VPC ピアリング接続のアクセプター VPC とリクエスタ VPC の両方で DNS 解決が有効になっていません。

[Recommended Action] (推奨されるアクション)

VPC ピアリング接続の DNS 解決を有効にします。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

AWS Backup ボールトに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされているかどうかを確認します。

リソースベースのポリシーにより、リカバリポイントが予期せず削除されるのを防ぐことができるため、バックアップデータに対して最小特権でアクセス制御を行うことができます。

ルールのプリンシパルArnListパラメータ AWS Config でルールがチェックしないように AWS Identity and Access Management ARNsを指定できます。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

チェック ID

c18d2gz152

ソース

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

アラート条件

黄: リカバリポイントの削除を防ぐためのリソースベースのポリシーがない AWS Backup ボールトがあります。

[Recommended Action] (推奨されるアクション)

AWS Backup ボールトのリソースベースのポリシーを作成して、リカバリポイントが予期せず削除されないようにします。

ポリシーには、backup:DeleteRecoveryPoint、backup:、および backup:PutBackupVaultAccessPolicy permissions を含むUpdateRecoveryPointLifecycle「Deny」ステートメントを含める必要があります。

詳細については、「Set access policies on backup vaults」を参照してください。

[Report columns] (レポート列)

ステータス
リージョン
リソース
AWS Config ルール
入力パラメータ
最終更新日時

説明

の使用をチェックします AWS CloudTrail。アカウントで行われた AWS API コールに関する情報を記録 AWS アカウントすることで、のアクティビティに対する可視性 CloudTrail が向上します。このログを使用して、特定のユーザーが指定期間にどのようなアクションを行ったか、指定期間に特定のリソースに対してどのユーザーがアクションを実行したかを判断できます。

CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信するため、にはバケットに対する書き込みアクセス許可 CloudTrail が必要です。証跡をすべてのリージョンに適用する場合 (新しい証跡を作成した場合のデフォルト)、証跡は Trusted Advisor レポートに複数回表示されます。

チェック ID

vjafUGJ9H0

アラート条件

黄: 証跡 CloudTrail のログ配信エラーを報告します。
赤: リージョンの証跡が作成されていないか、証跡のログ記録がオフになっています。

[Recommended Action] (推奨されるアクション)

証跡を作成してコンソールからログ記録を開始するには、AWS CloudTrail コンソールに移動します。

ログ記録を開始するには、「Stopping and Starting Logging for a Trail」(証跡のログ記録の停止と開始) を参照してください。

ログ配信エラーが発生した場合は、バケットが存在し、必要なポリシーがバケットにアタッチされていることを確認してください。「Amazon S3 バケットポリシー」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
証跡名
ログ記録のステータス
バケット名
ログ配信日

説明

$LATEST バージョンが非推奨に近づいているランタイムを使用するように設定されている、または非推奨になっている Lambda 関数をチェックします。非推奨のランタイムは、セキュリティ更新プログラムやテクニカルサポートの対象外です。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

公開された Lambda 関数のバージョンは不変です。つまり、呼び出すことはできますが、更新することはできません。更新できるのは Lambda 関数の $LATEST バージョンのみです。詳細については、「Lambda 関数のバージョン」を参照してください。

チェック ID

L4dfs2Q4C5

アラート条件

赤: 関数の $LATEST バージョンは、すでに非推奨になっているランタイムを使用するように設定されています。
黄: 関数の $LATEST バージョンは、180 日以内に廃止されるランタイムで実行されています。

[Recommended Action] (推奨されるアクション)

もうすぐ非推奨になるランタイムで実行されている関数がある場合は、サポート対象のランタイムへの移行に向けて準備する必要があります。詳細については、「Runtime support policy」(ランタイムサポートポリシー) を参照してください。

使用しなくなった以前の関数バージョンを削除することをお勧めします。

その他のリソース

Lambda ランタイム

[Report columns] (レポート列)

ステータス
リージョン
関数 ARN
ランタイム
非推奨になるまでの日数
廃止日
平均日次呼び出し
最終更新日時

説明

セキュリティの柱で、ワークロードに関するリスクの高い問題 (HRI) をチェックします。このチェックは、お客様の AWS-Well Architected レビューに基づきます。チェック結果は、AWS Well-Architected でワークロード評価を完了したかどうかによって異なります。

注記

このチェックの結果は、1 日に数回自動的に更新され、更新リクエストは許可されません。変更が表示されるまでに数時間かかる場合があります。現時点では、このチェックからリソースを除外することはできません。

チェック ID

Wxdfp4B1L3

アラート条件

赤: AWS Well-Architected のセキュリティの柱で、少なくとも 1 つのアクティブな高リスクの問題が特定されました。
緑: AWS Well-Architected のセキュリティの柱でアクティブな高リスクの問題は検出されませんでした。

[Recommended Action] (推奨されるアクション)

AWS Well-Architected は、ワークロードの評価中に高リスクの問題を検出しました。これらの問題は、リスクを軽減し、費用を節約する機会を提示します。AWS Well-Architected ツールにサインインして、回答を確認し、アクティブな問題を解決するためのアクションを実行します。

[Report columns] (レポート列)

ステータス
リージョン
ワークロードの ARN
ワークロード名
レビュー担当者名
ワークロードタイプ
ワークロードの開始日
ワークロードの最終変更日
セキュリティについて特定された HRI の数
セキュリティについて解決された HRI の数
セキュリティについての質問の数
セキュリティの柱の質問の総数
最終更新日時

説明

IAM 証明書ストア内の CloudFront 代替ドメイン名の SSL 証明書をチェックします。このチェックでは、証明書の期限が切れている場合、近日中に証明書の期限が切れる場合、証明書で古い暗号化が使用されている場合、またはディストリビューションに対して証明書が正しく構成されていない場合にアラートが発生します。

代替ドメイン名のカスタム証明書の有効期限が切れると、 CloudFront コンテンツを表示するブラウザにウェブサイトのセキュリティに関する警告メッセージが表示されることがあります。SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのウェブブラウザで非推奨になる予定です。

証明書には、オリジンドメイン名、またはビューワーリクエストのホストヘッダー内のドメイン名のいずれかに一致するドメイン名が含まれている必要があります。一致しない場合、は HTTP ステータスコード 502 (不正なゲートウェイ) をユーザーに CloudFront 返します。詳細については、「代替ドメイン名と HTTPS の使用」を参照してください。

チェック ID

N425c450f2

アラート条件

赤: カスタム SSL 証明書の有効期限が切れています。
黄: カスタム SSL 証明書は今後 7 日で期限切れになります。
黄: カスタム SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
黄: ディストリビューション内の 1 つ以上の代替ドメイン名が、カスタム SSL 証明書の [Common Name] (共通名) フィールドにも [Subject Alternative Names] (サブジェクト代替名) フィールドにも表示されません。

[Recommended Action] (推奨されるアクション)

期限切れになっている証明書、または間もなく期限切れになる証明書を更新します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

証明書を、[Common Names] (共通名) フィールドまたは [Subject Alternative Domain Names] (サブジェクト代替ドメイン名) フィールドに該当する値を含む証明書に置き換えます。

その他のリソース

HTTPS 接続を使用したオブジェクトへのアクセス

[Report columns] (レポート列)

ステータス
ディストリビューション ID
ディストリビューションドメイン名
証明書名
理由

説明

オリジンサーバーで、有効期限が切れている SSL 証明書、有効期限が近づいている SSL 証明書、欠落している SSL 証明書、または古い暗号化を使用している SSL 証明書をチェックします。証明書にこれらの問題のいずれかがある場合、は HTTP ステータスコード 502、Bad Gateway でコンテンツのリクエスト CloudFront に対応します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書は、Chrome や Firefox などのウェブブラウザで非推奨になる予定です。ディストリビューションに CloudFront関連付けた SSL 証明書の数によっては、このチェックにより、Amazon EC2 または Elastic Load Balancing をディストリ CloudFront ビューションのオリジンとして使用 AWS している場合など、ウェブホスティングプロバイダーの請求書に 1 か月あたり数セントが追加される場合があります。このチェックでは、オリジン証明書チェーンまたは認証局は検証されません。これらは設定で確認できます CloudFront 。

チェック ID

N430c450f2

アラート条件

赤: オリジンの SSL 証明書の有効期限が切れているか、存在しません。
黄: オリジンの SSL 証明書は今後 30 日以内に期限切れになります。
黄: オリジンの SSL 証明書が SHA-1 ハッシュアルゴリズムを使用して暗号化されています。
黄: オリジンの SSL 証明書が見つかりません。タイムアウトや他の HTTPS 接続の問題により、接続が失敗した可能性があります。

[Recommended Action] (推奨されるアクション)

有効期限が切れているか、間もなく期限切れになる場合は、オリジンで証明書を更新します。

証明書が存在しない場合は追加します。

SHA-1 ハッシュアルゴリズムを使用して暗号化された証明書を、SHA-256 ハッシュアルゴリズムを使用して暗号化された証明書に置き換えます。

その他のリソース

代替ドメイン名と HTTPS の使用

[Report columns] (レポート列)

ステータス
ディストリビューション ID
ディストリビューションドメイン名
オリジン
理由

説明

暗号化された通信に推奨されるセキュリティ設定を使用しないリスナーを持つロードバランサーをチェックします。 AWS は、安全なプロトコル (HTTPS または SSL)、 up-to-date セキュリティポリシー、および安全な暗号とプロトコルを使用することをお勧めします。

フロントエンド接続 (クライアントからロードバランサーへの接続) にセキュアなプロトコルを使用すると、クライアントとロードバランサーの間でリクエストが暗号化されるため、より安全な環境が作成されます。Elastic Load Balancing は、セキュリティのベストプラクティスに準拠した暗号とプロトコルを含む事前定義された AWS セキュリティポリシーを提供します。新しい構成が利用可能になると、事前定義済みのポリシーの新しいバージョンがリリースされます。

チェック ID

a2sEc6ILx

アラート条件

黄: ロードバランサーには、安全なプロトコル (HTTPS または SSL) を使用するリスナーがありません。
黄: ロードバランサーのリスナーは、古い事前定義済みの SSL セキュリティポリシーを使用しています。
黄: ロードバランサーのリスナーは、推奨されていない暗号またはプロトコルを使用しています。
赤: ロードバランサーのリスナーが安全でない暗号またはプロトコルを使用しています。

[Recommended Action] (推奨されるアクション)

ロードバランサーへのトラフィックをセキュリティで保護する必要がある場合は、フロントエンド接続に HTTPS または SSL プロトコルを使用します。

ロードバランサーを事前定義済みの SSL セキュリティポリシーの最新バージョンにアップグレードします。

推奨される暗号とプロトコルのみを使用してください。

詳細については、「Listener Configurations for Elastic Load Balancing」(Elastic Load Balancing のリスナー設定) を参照してください。

その他のリソース

リスナー設定のクイックリファレンス
ロードバランサーの SSL ネゴシエーション設定を更新する
SSL Negotiation Configurations for Elastic Load Balancing (Elastic Load Balancing の SSL ネゴシエーション設定)
SSL セキュリティポリシーのテーブル

[Report columns] (レポート列)

ステータス
リージョン
ロードバランサー名
ロードバランサーのポート
理由

説明

欠落しているセキュリティグループで構成されたロードバランサー、またはロードバランサー用に設定されていないポートへのアクセスを許可するセキュリティグループをチェックします。

ロードバランサーに関連付けられたセキュリティグループを削除すると、ロードバランサーは予期した通りに動作しなくなります。ロードバランサー用に設定されていないポートへのアクセスがセキュリティグループで許可されている場合、データの損失や悪意のある攻撃のリスクが高くなります。

チェック ID

xSqX82fQu

アラート条件

黄: ロードバランサーに関連付けられた Amazon VPC セキュリティグループのインバウンドルールは、ロードバランサーのリスナー設定で定義されていないポートへのアクセスを許可します。
赤: ロードバランサーに関連付けられているセキュリティグループが存在しません。

[Recommended Action] (推奨されるアクション)

セキュリティグループルールを設定して、ロードバランサーのリスナー設定で定義されたポートとプロトコル、および Path MTU Discovery をサポートする ICMP プロトコルのみにアクセスを制限します。「Listeners for Your Classic Load Balancer」(Classic Load Balancer のリスナー) および「Security Groups for Load Balancers in a VPC」(VPC のロードバランサーのセキュリティグループ) を参照してください。

セキュリティグループがない場合は、ロードバランサーに新しいセキュリティグループを適用します。ロードバランサーのリスナー設定で定義されているポートとプロトコルのみにアクセスを制限するセキュリティグループルールを作成します。「VPC でのロードバランサーのセキュリティグループ」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
ロードバランサー名
セキュリティグループ ID
理由

説明

一般に露出されているアクセスキー、およびアクセスキーが侵害された結果である可能性のある Amazon Elastic Compute Cloud (Amazon EC2) の不規則な使用状況について頻繁に使用されているコードリポジトリをチェックします。

アクセスキーは、アクセスキー ID とそれに対応するシークレットアクセスキーで構成されます。露出したアクセスキーは、アカウントや他のユーザーにセキュリティ上のリスクの原因となり、不正な活動や不正使用に起因する過度の請求が発生する可能性があるだけでなく、AWS カスタマーアグリーメントの違反になることがあります。

アクセスキーが露出している場合は、直ちにアカウントを保護してください。アカウントを過剰な料金から保護するために、 AWS は一時的に一部の AWS リソースを作成する機能を制限します。これにより、アカウントのセキュリティが確保されるわけではありません。課金される可能性のある不正使用を部分的に制限するだけです。

注記

このチェックでは、露出したアクセスキーまたは侵害された EC2 インスタンスの識別は保証されません。アクセスキーと AWS リソースの安全性とセキュリティは、最終的にお客様の責任となります。

このチェックの結果は、自動的に更新され、更新リクエストは許可されません。現時点では、このチェックからリソースを除外することはできません。

アクセスキーの期限が表示され AWS アカウントた場合、その日までに不正使用が停止されない場合、はを停止 AWS することがあります。アラートがエラー状態であると思われる場合は、AWS Supportまで問い合わせてください。

に表示される情報は、アカウントの最新の状態を反映していない Trusted Advisor 場合があります。アカウントで公開されているすべてのアクセスキーが解決されるまで、公開されたアクセスキーが解決済みとしてマークされることはありません。このデータ同期には、最大 1 週間かかる場合があります。

チェック ID

12Fnkpl8Y5

アラート条件

赤: 侵害された可能性がある — インターネットで公開され、侵害された (使用された) 可能性があるアクセスキー ID と対応するシークレットアクセスキー AWS を特定しました。
赤: 公開済み — インターネットで公開されているアクセスキー ID と対応するシークレットアクセスキー AWS を特定しました。
赤: 疑わしいです - Amazon EC2 の不規則な使用は、アクセスキーが侵害された可能性があることを示唆していますが、インターネット上で公開されていると識別されてはいません。

[Recommended Action] (推奨されるアクション)

影響を受けるアクセスキーを可能な限り早急に削除します。キーが IAM ユーザーに関連付けられている場合は、「IAM ユーザーのアクセスキーの管理」を参照してください。

アカウントで不正使用がないか確認してください。AWS Management Console にサインインし、疑わしいリソースがないか各サービスコンソールを確認します。Amazon EC2 インスタンスの実行、スポットインスタンスリクエスト、アクセスキー、IAM ユーザーには特に注意してください。Billing and Cost Management コンソールで全体的な使用状況を確認することもできます。

その他のリソース

[Report columns] (レポート列)

アクセスキー ID
ユーザー名 (IAM またはルート)
不正行為のタイプ
ケース ID
更新日時
ロケーション
Deadline
使用状況 (USD/日)

説明

過去 90 日間にローテーションされていないアクティブな IAM アクセスキーをチェックします。

アクセスキーを定期的にローテーションすると、侵害されたキーが知らないうちにリソースへのアクセスに使用される可能性を削減できます。このチェックでの最後のローテーション日時は、アクセスキーが作成された日または最後にアクティブ化された日です。アクセスキーの番号と日付は access_key_1_last_rotated および access_key_2_last_rotated 情報を直近の IAM 認証情報レポートから取得されます。

認証情報レポートの再生頻度は制限されているため、このチェックを更新しても最近の変更が反映されない場合があります。詳細については、「AWS アカウントの認証情報レポートの取得」を参照してください。

アクセスキーを作成してローテーションするには、ユーザーに適切な許可が必要です。詳細については、「Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys」(自らのパスワード、アクセスキー、および SSH キーの管理をユーザーに許可する) を参照してください。

チェック ID

DqdJqYeRm5

アラート条件

緑: アクセスキーはアクティブで、過去 90 日間にローテーションされています。
黄: アクセスキーはアクティブで、過去 2 年間でローテーションされましたが、90 日を超える期間が経過しています。
赤: アクセスキーはアクティブで、過去 2 年間ローテーションされていません。

[Recommended Action] (推奨されるアクション)

アクセスキーを定期的にローテーションします。「アクセスキーの更新」および「IAM ユーザーのアクセスキーの管理」を参照してください。

その他のリソース

[Report columns] (レポート列)

ステータス
IAM ユーザー
アクセスキー
最後にローテーションしたキー
理由

説明

アカウントのパスワードポリシーをチェックし、パスワードポリシーが有効になっていない場合やパスワードコンテンツの要件が有効になっていない場合に警告します。

パスワードコンテンツの要件は、強力なユーザーパスワードの作成を強制することによって AWS 環境の全体的なセキュリティを強化します。パスワードポリシーを作成または変更すると、変更は新しいユーザーに対してただちに適用されますが、既存のユーザーに対してパスワードの変更は強制されません。

チェック ID

Yw2K9puPzl

アラート条件

黄: パスワードポリシーは有効になっていますが、少なくとも 1 つのコンテンツ要件が有効になっていません。
赤: パスワードポリシーが有効になっていません。

[Recommended Action] (推奨されるアクション)

一部のコンテンツ要件が有効になっていない場合は、有効にすることを検討してください。パスワードポリシーが有効になっていない場合は、パスワードポリシーを作成して設定します。「IAM ユーザー用のアカウントパスワードポリシーの設定」を参照してください。

その他のリソース

パスワードの管理

[Report columns] (レポート列)

パスワードポリシー
大文字
小文字
数
英数字以外

説明

ルートアカウントをチェックし、多要素認証 (MFA) が有効でない場合に警告します。

セキュリティを強化するために、MFA を使用してアカウントを保護することをお勧めします。MFA では、 AWS Management Console および関連するウェブサイトを操作するときに、ユーザーが MFA ハードウェアまたは仮想デバイスから一意の認証コードを入力する必要があります。

チェック ID

7DAFEmoDos

アラート条件

赤: MFA がルートアカウントで有効になっていません。

[Recommended Action] (推奨されるアクション)

ルートアカウントにログインし、MFA デバイスをアクティブ化します。「MFA ステータスのチェック」および「Setting Up an MFA Device」(MFA デバイスのセットアップ) を参照してください。

その他のリソース

でのMulti-Factor Authentication (MFA) デバイスの使用 AWS

説明

セキュリティグループで特定のポートへの無制限アクセス (0.0.0.0/0) を許可するルールを確認します。

アクセスが制限されていないと、悪意のあるアクティビティ (ハッキング、 denial-of-service 攻撃、データ損失) の機会が増えます。リスクが最も高いポートには赤色のフラグが付けられ、リスクが低いポートには黄色のフラグが付けられます。緑色のフラグが付いたポートは、通常、HTTP や SMTP など、無制限のアクセスを必要とするアプリケーションで使用されます。

この方法でセキュリティグループを意図的に設定した場合は、追加のセキュリティ対策を使用してインフラストラクチャ (IP テーブルなど) を保護することをお勧めします。

注記

このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。 AWS Directory Service によって作成されたセキュリティグループには赤色または黄色のフラグが付けられますが、これらはセキュリティ上のリスクを発生させるものではなく、安全に無視または除外できます。詳細については、「Trusted Advisor FAQ」を参照してください。

注記

このチェックには、顧客管理プレフィックスリストが 0.0.0.0/0 へのアクセスを許可しており、セキュリティグループのソースとして使用されているユースケースは含まれません。

チェック ID

HCP4007jGY

アラート条件

緑: ポート 80、25、443、または 465 へのアクセスは制限されていません。
赤: ポート 20、21、1433、1434、3306、3389、4333、5432、または 5500 へのアクセスは制限されていません。
黄: 他のポートへのアクセスは制限されていません。

[Recommended Action] (推奨されるアクション)

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
セキュリティグループ名
セキュリティグループ ID
[プロトコル]
送信元ポート
送信先ポート

説明

セキュリティグループでリソースへの無制限アクセスを許可するルールをチェックします。

アクセスが制限されていないと、悪意のあるアクティビティ (ハッキング、 denial-of-service 攻撃、データ損失) の機会が増えます。

注記

このチェックでは、作成したセキュリティグループと IPv4 アドレスのインバウンドルールのみが評価されます。 AWS Directory Service によって作成されたセキュリティグループには赤色または黄色のフラグが付けられますが、これらはセキュリティ上のリスクを発生させるものではなく、安全に無視または除外できます。詳細については、「Trusted Advisor FAQ」を参照してください。

注記

このチェックには、顧客管理プレフィックスリストが 0.0.0.0/0 へのアクセスを許可しており、セキュリティグループのソースとして使用されているユースケースは含まれません。

チェック ID

1iG5NDGVre

アラート条件

赤: セキュリティグループルールには、25、80、または 443 以外のポートのサフィックスが /0 であるソース IP アドレスがあります。

[Recommended Action] (推奨されるアクション)

アクセスを必要とする IP アドレスのみに制限します。特定の IP アドレスにアクセスを制限するには、サフィックスを /32 に設定します (例: 192.0.2.10/32)。より制限の厳しいルールを作成した後は、必ず過度に許容的なルールを削除してください。

その他のリソース

[Report columns] (レポート列)

ステータス
リージョン
セキュリティグループ名
セキュリティグループ ID
[プロトコル]
送信元ポート
送信先ポート
IP 範囲

注記

チェック名

Amazon CloudWatch Log Group の保持期間

注記

Microsoft SQL Server を使用した Amazon EC2 インスタンスのサポートの終了

注記

Microsoft Windows Server を使用した Amazon EC2 インスタンスのサポートの終了

注記

Ubuntu LTS を使用した Amazon EC2 インスタンスの標準サポートの終了

注記

data-in-transit 暗号化を使用しない Amazon EFS クライアント

注記

Amazon EBS パブリックスナップショット

注記

Amazon RDS Aurora ストレージの暗号化は無効になっています

注記

注記

Amazon RDS エンジンのマイナーバージョンアップグレードが必須です。

注記

注記

Amazon RDS パブリックスナップショット

注記

Amazon RDS セキュリティグループのアクセスリスク

Amazon RDS ストレージの暗号化は無効になっています。

注記

注記

元の DB インスタンスの暗号化されたコピーを作成する

S3 バケットを直接指定する Amazon Route 53 の CNAME レコードの不一致

Amazon Route 53 MX リソースレコードセットと Sender Policy Framework

Amazon S3 バケット許可

Amazon S3Server アクセスログの有効化

DNS 解決が無効になっている Amazon VPC ピアリング接続

注記

AWS Backup リカバリポイントの削除を防ぐためのリソースベースのポリシーのないボールト

注記

AWS CloudTrail ログ記録

AWS Lambda 非推奨ランタイムを使用する関数

注記

セキュリティに関する AWS Well-Architected のリスクの高い問題

注記

CloudFront IAM Certificate Store のカスタム SSL 証明書

CloudFront オリジンサーバーの SSL 証明書

ELB リスナーのセキュリティ

ELB セキュリティグループ

露出したアクセスキー

注記

IAM アクセスキーローテーション

IAM パスワードポリシー

ルートアカウントの MFA

セキュリティグループ — 開かれたポート

注記

注記

セキュリティグループ — 無制限アクセス

注記

注記