FDA Title 21 CFR Part 11 の運用のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、「Title 21 of the Code of Federal Regulations (CFR) Part 11」と、AWS マネージド Config ルール間のマッピングの例を示します。各 AWS Config ルールが特定の AWS リソースに適用され、1 つ以上の「FDA Title 21 CFR Part 11」によるコントロールに関連付けられます。「FDA Title 21 CFR Part 11」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

コントロール ID	コントロールの概要	AWS Config ルール	ガイダンス
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	dynamodb-in-backup-plan	データのバックアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	ebs-in-backup-plan	データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	efs-in-backup-plan	データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	rds-in-backup-plan	データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
11.1	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれます。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	cloud-trail-log-file-validation-enabled	AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	cloudtrail-security-trail-enabled	このルールでは、複数の設定が有効になっていることをチェックすることで、AWS CloudTrail で AWS が推奨するセキュリティのベストプラクティスが使用されるようになります。これには、ログ暗号化の使用、ログ検証、複数のリージョンでの AWS CloudTrail の有効化が含まれます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	dynamodb-in-backup-plan	データのバックアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	ebs-in-backup-plan	データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	ec2-instance-managed-by-systems-manager	AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	ec2-stopped-instance	このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	ec2-volume-inuse-check	このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	efs-in-backup-plan	データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	rds-in-backup-plan	データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
11.10(a)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。このような手順およびコントロールには、以下が含まれるものとします。(a) 正確性、信頼性、一貫性のある意図された性能、および無効になったり変更された記録を識別する能力を確保するためのシステムの検証。	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	cloud-trail-encryption-enabled	機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	ecr-private-lifecycle-policy-configured	Amazon Elastic Container Repository (ECR) ライフサイクルポリシーを使用すると、リポジトリ内のイメージのライフサイクル管理を有効にすることができます。これにより、未使用のイメージ (経過時間またはカウントに基づく有効期限切れイメージ) などのクリーンアップを自動化できます。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	rds-storage-encrypted	保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	s3-bucket-public-read-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	s3-bucket-public-write-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	s3-version-lifecycle-policy-check	Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	sagemaker-endpoint-configuration-kms-key-configured	保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	sagemaker-notebook-instance-kms-key-configured	保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10 (c)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(c) 記録の保管期間を通して、正確かつすぐに検索できるようにするための記録の保護。	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	access-keys-rotated	組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	account-part-of-organizations	AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	dynamodb-table-encrypted-kms	Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ebs-snapshot-public-restorable-check	EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ec2-instance-no-public-ip	Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ec2-instance-profile-attached	EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	efs-encrypted-check	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	elasticsearch-encrypted-at-rest	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	elasticsearch-in-vpc-only	Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-group-has-users-check	AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-user-no-policies-check	このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	lambda-function-public-access-prohibited	AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	lambda-inside-vpc	AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	mfa-enabled-for-iam-console-access	コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	no-unrestricted-route-to-igw	Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	restricted-common-ports	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	root-account-hardware-mfa-enabled	ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	root-account-mfa-enabled	ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	s3-bucket-public-read-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	s3-bucket-public-write-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	secretsmanager-rotation-enabled-check	このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	secretsmanager-scheduled-rotation-success-check	このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	ssm-document-not-public	AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。
11.10 (d)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには、以下が含まれるものとします。(d) システムへのアクセスを、認可された個人に制限する。	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	access-keys-rotated	組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	cloudtrail-enabled	AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	elasticsearch-logs-to-cloudwatch	Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	iam-group-has-users-check	AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	multi-region-cloudtrail-enabled	AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	opensearch-logs-to-cloudwatch	Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	redshift-audit-logging-enabled	Amazon Redshift クラスターの接続とユーザーアクティビティに関する情報をキャプチャするには、監査ログ作成が有効になっていることを確認します。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
11.10 (e)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。こうした手順および管理には、以下が含まれます: (e) 電子記録を作成、変更、削除するオペレーターの入力やアクションの日時を個別に記録するための、安全なコンピュータで生成されたタイムスタンプ付きの監査証跡の使用。記録の変更によって、過去に記録された情報が不明瞭にならないようにするものとします。これらの監査証跡のドキュメントは、少なくとも対象の電子記録に必要な期間保持され、政府機関によるレビューやコピーが可能なものとします。	wafv2-logging-enabled	環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	access-keys-rotated	組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	account-part-of-organizations	AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	dynamodb-table-encrypted-kms	Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ebs-snapshot-public-restorable-check	EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ec2-instance-no-public-ip	Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ec2-instance-profile-attached	EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	efs-encrypted-check	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	elasticsearch-encrypted-at-rest	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	elasticsearch-in-vpc-only	Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-group-has-users-check	AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-user-no-policies-check	このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-user-no-policies-check	このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	lambda-function-public-access-prohibited	AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	lambda-inside-vpc	AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	mfa-enabled-for-iam-console-access	コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	no-unrestricted-route-to-igw	Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	redshift-cluster-kms-enabled	保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	redshift-enhanced-vpc-routing-enabled	拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	restricted-common-ports	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	root-account-hardware-mfa-enabled	ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	root-account-mfa-enabled	ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	s3-bucket-public-read-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	s3-bucket-public-write-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	secretsmanager-rotation-enabled-check	このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	secretsmanager-scheduled-rotation-success-check	このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	ssm-document-not-public	AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。
11.10 (g)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(g) 認可された個人のみが、システムの使用、記録への電子署名、オペレーションシステムやコンピュータシステムへの入力または出力デバイスへのアクセス、記録の変更、手元で操作を行うことができるようにするための認証確認の使用。	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
11.10 (h)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(h) 必要に応じて、データ入力またはオペレーションの指示のソースの妥当性を判断するための、デバイス (端末など) による確認。	ec2-instance-managed-by-systems-manager	AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
11.10 (h)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(h) 必要に応じて、データ入力またはオペレーションの指示のソースの妥当性を判断するための、デバイス (端末など) による確認。	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
11.10 (h)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(h) 必要に応じて、データ入力またはオペレーションの指示のソースの妥当性を判断するための、デバイス (端末など) による確認。	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
11.10 (i)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。そのような手順および統制には、以下が含まれます。(i) 電子記録/電子署名システムを開発、維持、または使用する者が、割り当てられたタスクを実行するための教育、訓練、および経験を有するかどうかの判断。	security-awareness-program-exists (Process Check)	組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	autoscaling-launch-config-public-ip-disabled	パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	cloudtrail-enabled	AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	ebs-snapshot-public-restorable-check	EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	restricted-common-ports	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	s3-bucket-public-read-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	s3-bucket-public-write-prohibited	権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	ssm-document-not-public	AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
11.10 (k)	電子記録を作成、修正、維持、または送信するためのクローズドシステムを使用する人物は、電子記録の真正性、完全性、さらに必要に応じて機密性を確保し、署名者によって、署名された記録が正規のものではないという否認を容易にされないようにするために設計された手順と管理を採用するものとします。これらの手順とコントロールには以下が含まれるものとします。(k) 以下を含む、システムドキュメントに関する適切なコントロールの使用。(1) システム運用および保守のためのドキュメントの配布、アクセス、使用に対する適切なコントロール。(2) システムドキュメントの開発と変更を時系列で記録する監査証跡を維持するための改訂および変更管理手順。	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
11.2	(a) 生体認証に基づかない電子署名では、以下を行うものとします。(1) 識別コードやパスワードなど、少なくとも 2 つの異なる識別コンポーネントを使用する。(i) 個人が、制御された単一のシステムへの連続したアクセス期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければならず、後続の署名は、個人によってのみ実行可能であり、個人によってのみ使用されるよう設計された少なくとも 1 つの電子署名コンポーネントを使用して実行される。(ii) 個人が、継続的に制御された単一のシステムへのアクセス期間中に実行されなかった 1 つ以上の署名を実行する場合、各署名は、すべての電子署名コンポーネントを使用して実行される。(2) 正規の所有者のみが使用する。(3) 正規の所有者以外が個人の電子署名の使用を試みた場合は、2 人以上の個人による協力を必要とするようにコントロールし実行する。	access-keys-rotated	組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
11.2	(a) 生体認証に基づかない電子署名では、以下を行うものとします。(1) 識別コードやパスワードなど、少なくとも 2 つの異なる識別コンポーネントを使用する。(i) 個人が、制御された単一のシステムへの連続したアクセス期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければならず、後続の署名は、個人によってのみ実行可能であり、個人によってのみ使用されるよう設計された少なくとも 1 つの電子署名コンポーネントを使用して実行される。(ii) 個人が、継続的に制御された単一のシステムへのアクセス期間中に実行されなかった 1 つ以上の署名を実行する場合、各署名は、すべての電子署名コンポーネントを使用して実行される。(2) 正規の所有者のみが使用する。(3) 正規の所有者以外が個人の電子署名の使用を試みた場合は、2 人以上の個人による協力を必要とするようにコントロールし実行する。	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.2	(a) 生体認証に基づかない電子署名では、以下を行うものとします。(1) 識別コードやパスワードなど、少なくとも 2 つの異なる識別コンポーネントを使用する。(i) 個人が、制御された単一のシステムへの連続したアクセス期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければならず、後続の署名は、個人によってのみ実行可能であり、個人によってのみ使用されるよう設計された少なくとも 1 つの電子署名コンポーネントを使用して実行される。(ii) 個人が、継続的に制御された単一のシステムへのアクセス期間中に実行されなかった 1 つ以上の署名を実行する場合、各署名は、すべての電子署名コンポーネントを使用して実行される。(2) 正規の所有者のみが使用する。(3) 正規の所有者以外が個人の電子署名の使用を試みた場合は、2 人以上の個人による協力を必要とするようにコントロールし実行する。	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
11.2	(a) 生体認証に基づかない電子署名では、以下を行うものとします。(1) 識別コードやパスワードなど、少なくとも 2 つの異なる識別コンポーネントを使用する。(i) 個人が、制御された単一のシステムへの連続したアクセス期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければならず、後続の署名は、個人によってのみ実行可能であり、個人によってのみ使用されるよう設計された少なくとも 1 つの電子署名コンポーネントを使用して実行される。(ii) 個人が、継続的に制御された単一のシステムへのアクセス期間中に実行されなかった 1 つ以上の署名を実行する場合、各署名は、すべての電子署名コンポーネントを使用して実行される。(2) 正規の所有者のみが使用する。(3) 正規の所有者以外が個人の電子署名の使用を試みた場合は、2 人以上の個人による協力を必要とするようにコントロールし実行する。	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
11.2	(a) 生体認証に基づかない電子署名では、以下を行うものとします。(1) 識別コードやパスワードなど、少なくとも 2 つの異なる識別コンポーネントを使用する。(i) 個人が、制御された単一のシステムへの連続したアクセス期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければならず、後続の署名は、個人によってのみ実行可能であり、個人によってのみ使用されるよう設計された少なくとも 1 つの電子署名コンポーネントを使用して実行される。(ii) 個人が、継続的に制御された単一のシステムへのアクセス期間中に実行されなかった 1 つ以上の署名を実行する場合、各署名は、すべての電子署名コンポーネントを使用して実行される。(2) 正規の所有者のみが使用する。(3) 正規の所有者以外が個人の電子署名の使用を試みた場合は、2 人以上の個人による協力を必要とするようにコントロールし実行する。	mfa-enabled-for-iam-console-access	コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
11.2	(a) 生体認証に基づかない電子署名では、以下を行うものとします。(1) 識別コードやパスワードなど、少なくとも 2 つの異なる識別コンポーネントを使用する。(i) 個人が、制御された単一のシステムへの連続したアクセス期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければならず、後続の署名は、個人によってのみ実行可能であり、個人によってのみ使用されるよう設計された少なくとも 1 つの電子署名コンポーネントを使用して実行される。(ii) 個人が、継続的に制御された単一のシステムへのアクセス期間中に実行されなかった 1 つ以上の署名を実行する場合、各署名は、すべての電子署名コンポーネントを使用して実行される。(2) 正規の所有者のみが使用する。(3) 正規の所有者以外が個人の電子署名の使用を試みた場合は、2 人以上の個人による協力を必要とするようにコントロールし実行する。	root-account-hardware-mfa-enabled	ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。
11.2	(a) 生体認証に基づかない電子署名では、以下を行うものとします。(1) 識別コードやパスワードなど、少なくとも 2 つの異なる識別コンポーネントを使用する。(i) 個人が、制御された単一のシステムへの連続したアクセス期間中に一連の署名を実行する場合、最初の署名はすべての電子署名コンポーネントを使用して実行されなければならず、後続の署名は、個人によってのみ実行可能であり、個人によってのみ使用されるよう設計された少なくとも 1 つの電子署名コンポーネントを使用して実行される。(ii) 個人が、継続的に制御された単一のシステムへのアクセス期間中に実行されなかった 1 つ以上の署名を実行する場合、各署名は、すべての電子署名コンポーネントを使用して実行される。(2) 正規の所有者のみが使用する。(3) 正規の所有者以外が個人の電子署名の使用を試みた場合は、2 人以上の個人による協力を必要とするようにコントロールし実行する。	root-account-mfa-enabled	ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	api-gw-cache-enabled-and-encrypted	保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	cloud-trail-encryption-enabled	機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	cloud-trail-log-file-validation-enabled	AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	cloudwatch-log-group-encrypted	保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	cmk-backing-key-rotation-enabled	キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	codebuild-project-artifact-encryption	機密性のある保管中のデータを保護するため、AWS CodeBuild アーティファクトで暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	codebuild-project-s3-logs-encrypted	機密性のある保管中のデータを保護するため、Amazon S3 に保存された AWS CodeBuild ログで暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	dynamodb-table-encrypted-kms	Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	efs-encrypted-check	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	elasticsearch-encrypted-at-rest	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	elasticsearch-encrypted-at-rest	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	elbv2-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	kinesis-stream-encrypted	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	kms-cmk-not-scheduled-for-deletion	保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	opensearch-encrypted-at-rest	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	rds-storage-encrypted	保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	redshift-cluster-kms-enabled	保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	s3-default-encryption-kms	Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	sagemaker-endpoint-configuration-kms-key-configured	保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	sagemaker-notebook-instance-kms-key-configured	保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	secretsmanager-using-cmk	保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.3	オープンシステムを使用して電子記録を作成、修正、維持、送信する人物は、電子記録の作成時点から受領時点まで、電子記録の真正性、完全性、さらに必要に応じて機密性を確保するために設計された手順とコントロールを採用するものとします。このような手順とコントロールには、11.10 の指定によるもののほか、必要に応じて記録の真正性、完全性、機密性を確保するためのドキュメントの暗号化や、適切なデジタル署名の規格の使用などの追加措置が含まれるものとします。	sns-encrypted-kms	保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
11.300 (b)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(b) 識別コードおよびパスワードの発行が定期的にチェック、リコールされ、改訂されていることを確認する (古いパスワードなどに対応するため)。	access-keys-rotated	組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
11.300 (b)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(b) 識別コードおよびパスワードの発行が定期的にチェック、リコールされ、改訂されていることを確認する (古いパスワードなどに対応するため)。	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
11.300 (b)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(b) 識別コードおよびパスワードの発行が定期的にチェック、リコールされ、改訂されていることを確認する (古いパスワードなどに対応するため)。	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。
11.300 (b)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(b) 識別コードおよびパスワードの発行が定期的にチェック、リコールされ、改訂されていることを確認する (古いパスワードなどに対応するため)。	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
11.300 (b)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(b) 識別コードおよびパスワードの発行が定期的にチェック、リコールされ、改訂されていることを確認する (古いパスワードなどに対応するため)。	secretsmanager-rotation-enabled-check	このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
11.300 (b)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(b) 識別コードおよびパスワードの発行が定期的にチェック、リコールされ、改訂されていることを確認する (古いパスワードなどに対応するため)。	secretsmanager-scheduled-rotation-success-check	このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
11.300 (d)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(d) パスワードおよび/または識別コードの不正使用を防止するためのトランザクションのセーフガードの使用、ならびにシステムセキュリティユニットの不正使用の試みを検知し、必要に応じて組織の管理者に即時かつ緊急に報告する。	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
11.300 (d)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(d) パスワードおよび/または識別コードの不正使用を防止するためのトランザクションのセーフガードの使用、ならびにシステムセキュリティユニットの不正使用の試みを検知し、必要に応じて組織の管理者に即時かつ緊急に報告する。	cloudtrail-enabled	AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
11.300 (d)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(d) パスワードおよび/または識別コードの不正使用を防止するためのトランザクションのセーフガードの使用、ならびにシステムセキュリティユニットの不正使用の試みを検知し、必要に応じて組織の管理者に即時かつ緊急に報告する。	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。
11.300 (d)	識別コードとパスワードを組み合わせた電子署名を使用する人物は、その安全性と完全性を確保するためのコントロールを行うものとします。これらのコントロールには以下が含まれるものとします。(d) パスワードおよび/または識別コードの不正使用を防止するためのトランザクションのセーフガードの使用、ならびにシステムセキュリティユニットの不正使用の試みを検知し、必要に応じて組織の管理者に即時かつ緊急に報告する。	securityhub-enabled	AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for FDA Title 21 CFR Part 11」で入手できます。