BNM の「RMiT」に関する運用上のベストプラクティス - AWS Config

BNM の「RMiT」に関する運用上のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。



以下に、マレーシア国立銀行 (BNM) の「Risk Management in Technology (RMiT)」と、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の BNM の「RMiT」によるコントロールに関連付けられます。BNM の「RMiT」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:中東 (バーレーン) を除く、サポートされているすべての AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

secretsmanager-using-cmk

保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
10.18 金融機関は、情報の機密性、完全性、認証、承認、および否認防止を保護するため、使用されるテクノロジーに関連する暗号化制御について、適切な注意を払って評価する必要があります。金融機関が独自の暗号化キーを生成していない場合、その金融機関は、暗号化キーを管理するための堅牢なコントロールとプロセスが実施されていることを確認するための適切な措置を講じるものとします。第三者の評価に依存する必要がある場合は、その依存が金融機関のリスク選好と許容範囲に合致するかどうかを検討するものとします。また、暗号化制御をサポートするために必要なシステムリソースや、暗号化されたデータのネットワークトラフィックの可視性が低下するリスクについても、十分に考慮する必要があります。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.2 金融機関は、リスクのレベルに応じて、認証機関によって発行された証明書に暗号化のパブリックキーを保存するものとします。これらの顧客に関連する証明書は、認定を受けた認証機関によって発行されるものとします。金融機関は、ユーザー証明書に対応する暗号化のプライベートキーの使用が法的拘束力を持ち、議論の余地がないことを保証するために、それらの証明書を使用する認証および署名プロトコルの実装が、強力な保護の対象となっていることを確認する必要があります。このような証明書の最初の発行とその後の更新は、業界のベストプラクティスおよび適用される法律上/規制上の仕様に合致するものでなければなりません。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.2 金融機関は、リスクのレベルに応じて、認証機関によって発行された証明書に暗号化のパブリックキーを保存するものとします。これらの顧客に関連する証明書は、認定を受けた認証機関によって発行されるものとします。金融機関は、ユーザー証明書に対応する暗号化のプライベートキーの使用が法的拘束力を持ち、議論の余地がないことを保証するために、それらの証明書を使用する認証および署名プロトコルの実装が、強力な保護の対象となっていることを確認する必要があります。このような証明書の最初の発行とその後の更新は、業界のベストプラクティスおよび適用される法律上/規制上の仕様に合致するものでなければなりません。

acm-certificate-expiration-check

X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。
10.2 金融機関は、リスクのレベルに応じて、認証機関によって発行された証明書に暗号化のパブリックキーを保存するものとします。これらの顧客に関連する証明書は、認定を受けた認証機関によって発行されるものとします。金融機関は、ユーザー証明書に対応する暗号化のプライベートキーの使用が法的拘束力を持ち、議論の余地がないことを保証するために、それらの証明書を使用する認証および署名プロトコルの実装が、強力な保護の対象となっていることを確認する必要があります。このような証明書の最初の発行とその後の更新は、業界のベストプラクティスおよび適用される法律上/規制上の仕様に合致するものでなければなりません。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

cloudwatch-alarm-resource-check

このルールを有効にして、指定されたリソースタイプで、指定されたメトリクスの Amazon CloudWatch アラームが作成されているかどうかを確認します。リソースタイプには、Amazon Elastic Block Store (Amazon EBS) ボリューム、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Relational Database Service (Amazon RDS) クラスタ、Amazon Simple Storage Service (Amazon S3) バケットを指定することが可能です。CloudWatch アラームを使用して、イベント検出情報を適切な担当者に伝達します。このルールでは、resourceType (AWS::EC2::Instance など) および metricName (CPUUtilization など) のパラメータを設定する必要があります。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

ec2-instance-detailed-monitoring-enabled

このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

rds-enhanced-monitoring-enabled

Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

lambda-concurrency-check

このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

dynamodb-throughput-limit-check

このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループット性能がチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

beanstalk-enhanced-health-reporting-enabled

AWS Elastic Beanstalk のヘルスレポートが強化されたことで、基盤となるインフラストラクチャの状態の変化に、より迅速に対応できるようになりました。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
10.27 金融機関は、主要なプロセスとサービスにおける容量の使用率とパフォーマンスを追跡するための、リアルタイムのモニタリングメカニズムを確立する必要があります。これらのモニタリングメカニズムは、管理者にタイムリーかつ実用的なアラートを提供できるものでなければなりません。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.34 金融機関は、潜在的なネットワーク障害やサイバー脅威から重要なシステムを保護するために、重要なシステム向けのネットワークサービスの信頼性を確保し、SPOF が存在しないことを確認する必要があります。

vpc-vpn-2-tunnels-up

冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
10.34 金融機関は、潜在的なネットワーク障害やサイバー脅威から重要なシステムを保護するために、重要なシステム向けのネットワークサービスの信頼性を確保し、SPOF が存在しないことを確認する必要があります。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
10.35 金融機関は、ネットワーク帯域幅のリアルタイムのモニタリングプロセスと、対応するネットワークサービスの回復性のメトリクスを確立し、帯域幅の過剰な使用率、帯域幅の輻輳、ネットワーク障害によるシステムの中断にフラグを付けられるようにする必要があります。これには、傾向や異常を検出するためのトラフィック分析が含まれます。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.35 金融機関は、ネットワーク帯域幅のリアルタイムのモニタリングプロセスと、対応するネットワークサービスの回復性のメトリクスを確立し、帯域幅の過剰な使用率、帯域幅の輻輳、ネットワーク障害によるシステムの中断にフラグを付けられるようにする必要があります。これには、傾向や異常を検出するためのトラフィック分析が含まれます。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.35 金融機関は、ネットワーク帯域幅のリアルタイムのモニタリングプロセスと、対応するネットワークサービスの回復性のメトリクスを確立し、帯域幅の過剰な使用率、帯域幅の輻輳、ネットワーク障害によるシステムの中断にフラグを付けられるようにする必要があります。これには、傾向や異常を検出するためのトラフィック分析が含まれます。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
10.35 金融機関は、ネットワーク帯域幅のリアルタイムのモニタリングプロセスと、対応するネットワークサービスの回復性のメトリクスを確立し、帯域幅の過剰な使用率、帯域幅の輻輳、ネットワーク障害によるシステムの中断にフラグを付けられるようにする必要があります。これには、傾向や異常を検出するためのトラフィック分析が含まれます。

api-gw-xray-enabled

AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。Ensure X-Ray を有効にすると、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できます。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

elb-cross-zone-load-balancing-enabled

Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
10.36 金融機関は、重要なシステムをサポートするネットワークサービスが、データの機密性、整合性、可用性を確保するように設計および実装されていることを確認する必要があります。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.38 金融機関は、調査と法律上の目的で、関連する十分なネットワークデバイスログを、少なくとも 3 年間、保持する必要があります。

cw-loggroup-retention-period-check

トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

ec2-instances-in-vpc

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイすることで、インターネットゲートウェイ、NAT デバイス、または VPN 接続を使用せずに、インスタンスと Amazon VPC 内の他のサービス間の安全な通信が実現できます。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

internet-gateway-authorized-vpc-only

インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにすることで、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

account-part-of-organizations

AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.53 金融機関がクラウドサービスを利用する際は、不正な開示やアクセスから保護するために、顧客や取引先の情報や所有権のあるデータに対して適切な保護措置を講じる必要があります。これには、クラウド上でホストされている顧客や取引先の情報、所有権のあるデータやサービスに関連するすべてのデータの所有権、コントロール、管理の保持を含むものとし、関連する暗号化キーの管理も含まれるものとします。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

account-part-of-organizations

AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
10.54 金融機関は、ユーザー (サードパーティーのサービスプロバイダーなどの内部と外部のユーザー) の識別、認証、承認のための適切なアクセスコントロールポリシーを実装する必要があります。これは、テクノロジーやシステムへの不正アクセスのリスクレベルに見合っており、アクセスコントロールに論理的かつ物理的なテクノロジーで対応するものでなければなりません

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
10.55 (b) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて、以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで、正当なユーザに、そのロールを実行するための必要最低限の権限のみを付与する。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.55 (b)(h)(i) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて以下の原則を考慮する必要があります。(b) 「最小特権」のアクセス権限を採用するか、「需要」ベースで最小限のアクセス許可のみを使用する。(h) 複数のユーザ間でのユーザ ID およびパスワードの共有を制限および管理する。(i) より個人を特定しやすい ID を優先し、一般的なユーザー ID の命名規則の使用を管理する。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
10.55 (c)(f) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて以下の原則を考慮する必要があります。(c) サービスプロバイダーに付与されたアクセス権限を含む、特定の期間にアクセスを制限する期限付きのアクセス権現を採用する。(f) リモートアクセスを含む重要なアクティビティに対し、より強力な認証を採用する。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
10.55 (f)(h) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて以下の原則を考慮する必要があります。(f) リモートアクセスを含む重要なアクティビティに対する、より強力な認証を採用する。(h) 複数のユーザー間でのユーザー ID とパスワードの共有を制限および制御する。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
10.55 (f)(h) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて以下の原則を考慮する必要があります。(f) リモートアクセスを含む重要なアクティビティに対する、より強力な認証を採用する。(h) 複数のユーザー間でのユーザー ID とパスワードの共有を制限および制御する。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
10.55 (f)(h) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて以下の原則を考慮する必要があります。(f) リモートアクセスを含む重要なアクティビティに対する、より強力な認証を採用する。(h) 複数のユーザー間でのユーザー ID とパスワードの共有を制限および制御する。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.55 (f)(h) 10.54 項を遵守するにあたり、金融機関はアクセスコントロールポリシーにおいて以下の原則を考慮する必要があります。(f) リモートアクセスを含む重要なアクティビティに対する、より強力な認証を採用する。(h) 複数のユーザー間でのユーザー ID とパスワードの共有を制限および制御する。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.56 金融機関は、使用中の ID の信頼性を確保するため、堅牢な認証プロセスを採用する必要があります。認証メカニズムには、機能の重要性に応じて、ユーザーが記憶するもの (パスワードや PIN など)、ユーザーが所有するもの (スマートカードやセキュリティデバイスなど)、ユーザー自身 (指紋や網膜パターンなどのバイオメトリクス特性など) といった 3 つの基本的な認証要素のうち、少なくとも 1 つ以上を採用するものとします。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
10.56 金融機関は、使用中の ID の信頼性を確保するため、堅牢な認証プロセスを採用する必要があります。認証メカニズムには、機能の重要性に応じて、ユーザーが記憶するもの (パスワードや PIN など)、ユーザーが所有するもの (スマートカードやセキュリティデバイスなど)、ユーザー自身 (指紋や網膜パターンなどのバイオメトリクス特性など) といった 3 つの基本的な認証要素のうち、少なくとも 1 つ以上を採用するものとします。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.56 金融機関は、使用中の ID の信頼性を確保するため、堅牢な認証プロセスを採用する必要があります。認証メカニズムには、機能の重要性に応じて、ユーザーが記憶するもの (パスワードや PIN など)、ユーザーが所有するもの (スマートカードやセキュリティデバイスなど)、ユーザー自身 (指紋や網膜パターンなどのバイオメトリクス特性など) といった 3 つの基本的な認証要素のうち、少なくとも 1 つ以上を採用するものとします。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.56 金融機関は、使用中の ID の信頼性を確保するため、堅牢な認証プロセスを採用する必要があります。認証メカニズムには、機能の重要性に応じて、ユーザーが記憶するもの (パスワードや PIN など)、ユーザーが所有するもの (スマートカードやセキュリティデバイスなど)、ユーザー自身 (指紋や網膜パターンなどのバイオメトリクス特性など) といった 3 つの基本的な認証要素のうち、少なくとも 1 つ以上を採用するものとします。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
10.57 金融機関は、進化する攻撃に対する回復性を強化するために、パスワードの使用方法を定期的に見直し、改変するものとします。これには、効果的で安全なパスワードの生成が含まれます。作成したパスワードの強度をチェックするためには、適切な管理を行う必要があります。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
10.58 複数の要素を使用する認証方法は、一般的に、単一の要素を使用するシステムよりも侵害されにくくなります。このことから、金融機関では (特に、高リスクのシステムや「シングルサインオン」を使用するシステムにおいて)、より信頼性が高く、より強力な不正の抑止力となる多要素認証 (MFA) を適切に設計し、実装することが推奨されます。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
10.58 複数の要素を使用する認証方法は、一般的に、単一の要素を使用するシステムよりも侵害されにくくなります。このことから、金融機関では (特に、高リスクのシステムや「シングルサインオン」を使用するシステムにおいて)、より信頼性が高く、より強力な不正の抑止力となる多要素認証 (MFA) を適切に設計し、実装することが推奨されます。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.58 複数の要素を使用する認証方法は、一般的に、単一の要素を使用するシステムよりも侵害されにくくなります。このことから、金融機関では (特に、高リスクのシステムや「シングルサインオン」を使用するシステムにおいて)、より信頼性が高く、より強力な不正の抑止力となる多要素認証 (MFA) を適切に設計し、実装することが推奨されます。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.58 複数の要素を使用する認証方法は、一般的に、単一の要素を使用するシステムよりも侵害されにくくなります。このことから、金融機関では (特に、高リスクのシステムや「シングルサインオン」を使用するシステムにおいて)、より信頼性が高く、より強力な不正の抑止力となる多要素認証 (MFA) を適切に設計し、実装することが推奨されます。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

cw-loggroup-retention-period-check

トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

account-part-of-organizations

AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
10.61 金融機関は、以下のことを確認する必要があります。(a) 企業全体のシステムへのアクセスコントロールが効果的に管理および監視されている。(b) 重要なシステムでのユーザーアクティビティが、監査と調査のためにログに記録されている。アクティビティログは最低 3 年間保存し、定期的かつタイムリーに確認する必要があります。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.62 10.61 項の要件を満たす上で、大規模な金融機関では以下のことを行う必要があります。(a) 企業全体のシステムへのユーザーアクセスを効果的に管理およびモニタリングするための ID のアクセス管理システムをデプロイする。(b) 自動監査ツールをデプロイし、あらゆる異常にフラグを付ける。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.62 10.61 項の要件を満たす上で、大規模な金融機関では以下のことを行う必要があります。(a) 企業全体のシステムへのユーザーアクセスを効果的に管理およびモニタリングするための ID のアクセス管理システムをデプロイする。(b) 自動監査ツールをデプロイし、あらゆる異常にフラグを付ける。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
10.62 10.61 項の要件を満たす上で、大規模な金融機関では以下のことを行う必要があります。(a) 企業全体のシステムへのユーザーアクセスを効果的に管理およびモニタリングするための ID のアクセス管理システムをデプロイする。(b) 自動監査ツールをデプロイし、あらゆる異常にフラグを付ける。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
10.63 金融機関は、重要なシステムが、セキュリティの脆弱性が明らかになっている古いシステムや、サポートの終了した (EOL) テクノロジーを使用したシステム上で稼働していないことを確認する必要があります。その際、金融機関は特定された機能に対して、明確に責任を割り当てる必要があります。(a) 最新のパッチリリースをタイムリーかつ継続的にモニタリングおよび実装します。(b) さらなる是正措置を実行するために、EOL に近づいている重要なテクノロジーを使用するシステムを特定します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
10.63 金融機関は、重要なシステムが、セキュリティの脆弱性が明らかになっている古いシステムや、サポートの終了した (EOL) テクノロジーを使用したシステム上で稼働していないことを確認する必要があります。その際、金融機関は特定された機能に対して、明確に責任を割り当てる必要があります。(a) 最新のパッチリリースをタイムリーかつ継続的にモニタリングおよび実装します。(b) さらなる是正措置を実行するために、EOL に近づいている重要なテクノロジーを使用するシステムを特定します。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
10.63 金融機関は、重要なシステムが、セキュリティの脆弱性が明らかになっている古いシステムや、サポートの終了した (EOL) テクノロジーを使用したシステム上で稼働していないことを確認する必要があります。その際、金融機関は特定された機能に対して、明確に責任を割り当てる必要があります。(a) 最新のパッチリリースをタイムリーかつ継続的にモニタリングおよび実装します。(b) さらなる是正措置を実行するために、EOL に近づいている重要なテクノロジーを使用するシステムを特定します。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
10.63 金融機関は、重要なシステムが、セキュリティの脆弱性が明らかになっている古いシステムや、サポートの終了した (EOL) テクノロジーを使用したシステム上で稼働していないことを確認する必要があります。その際、金融機関は特定された機能に対して、明確に責任を割り当てる必要があります。(a) 最新のパッチリリースをタイムリーかつ継続的にモニタリングおよび実装します。(b) さらなる是正措置を実行するために、EOL に近づいている重要なテクノロジーを使用するシステムを特定します。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
10.63 金融機関は、重要なシステムが、セキュリティの脆弱性が明らかになっている古いシステムや、サポートの終了した (EOL) テクノロジーを使用したシステム上で稼働していないことを確認する必要があります。その際、金融機関は特定された機能に対して、明確に責任を割り当てる必要があります。(a) 最新のパッチリリースをタイムリーかつ継続的にモニタリングおよび実装します。(b) さらなる是正措置を実行するために、EOL に近づいている重要なテクノロジーを使用するシステムを特定します。

elastic-beanstalk-managed-updates-enabled

Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

secretsmanager-using-cmk

保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
10.66 (a) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実装する必要があります。(a) 顧客および取引先の情報と、トランザクションの機密性および完全性

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
10.66 (b) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(b) チャネルやデバイスを通じて、サービスの中断を最小限に抑えて提供されるサービスの信頼性

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
10.66 (b) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(b) チャネルやデバイスを通じて、サービスの中断を最小限に抑えて提供されるサービスの信頼性

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
10.66 (b) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(b) チャネルやデバイスを通じて、サービスの中断を最小限に抑えて提供されるサービスの信頼性

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
10.66 (b) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(b) チャネルやデバイスを通じて、サービスの中断を最小限に抑えて提供されるサービスの信頼性

vpc-vpn-2-tunnels-up

冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
10.66 (b) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(b) チャネルやデバイスを通じて、サービスの中断を最小限に抑えて提供されるサービスの信頼性

elb-cross-zone-load-balancing-enabled

Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
10.66 (b) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(b) チャネルやデバイスを通じて、サービスの中断を最小限に抑えて提供されるサービスの信頼性

rds-instance-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
10.66 (b) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(b) チャネルやデバイスを通じて、サービスの中断を最小限に抑えて提供されるサービスの信頼性

ec2-stopped-instance

このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

dynamodb-throughput-limit-check

このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループット性能がチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

ec2-instance-detailed-monitoring-enabled

このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

lambda-dlq-check

このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

rds-enhanced-monitoring-enabled

Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.66 (d) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(d) 十分な監査証跡と異常なトランザクションのモニタリング

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

rds-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
10.66 (e) 金融機関は、デジタルサービスを提供する際、以下のことを保証する堅牢なテクノロジーによるセキュリティコントロールを実施する必要があります。(e) インシデントやサービス中断の前にリカバリポイントを特定して復旧させる機能

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
11.7 金融機関は、テクノロジーインフラストラクチャの異常なアクティビティを継続的かつプロアクティブにモニタリングし、タイムリーに検出するための効果的なツールをデプロイする必要があります。モニタリングの範囲は、サポートするインフラストラクチャを含むあらゆる重要なシステムをカバーする必要があります。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
11.7 金融機関は、テクノロジーインフラストラクチャの異常なアクティビティを継続的かつプロアクティブにモニタリングし、タイムリーに検出するための効果的なツールをデプロイする必要があります。モニタリングの範囲は、サポートするインフラストラクチャを含むあらゆる重要なシステムをカバーする必要があります。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
11.7 (c)(f) SOC は、以下の機能を実行可能である必要があります。(c) 脆弱性管理。(f) 脅威インテリジェンスの分析と運用を含む、攻撃者と脅威を検出するための状況認識の提供、および侵入の痕跡 (IOC) のモニタリング。これには、署名のないマルウェアやファイルのないマルウェアを検出し、エンドポイントやネットワークレイヤーなどでセキュリティ脅威となりうる異常を特定するための高度な動作分析が含まれます。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
11.7 (c)(f) SOC は、以下の機能を実行可能である必要があります。(c) 脆弱性管理。(f) 脅威インテリジェンスの分析と運用を含む、攻撃者と脅威を検出するための状況認識の提供、および侵入の痕跡 (IOC) のモニタリング。これには、署名のないマルウェアやファイルのないマルウェアを検出し、エンドポイントやネットワークレイヤーなどでセキュリティ脅威となりうる異常を特定するための高度な動作分析が含まれます。

guardduty-non-archived-findings

Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。
11.7 (c)(f) SOC は、以下の機能を実行可能である必要があります。(c) 脆弱性管理。(f) 脅威インテリジェンスの分析と運用を含む、攻撃者と脅威を検出するための状況認識の提供、および侵入の痕跡 (IOC) のモニタリング。これには、署名のないマルウェアやファイルのないマルウェアを検出し、エンドポイントやネットワークレイヤーなどでセキュリティ脅威となりうる異常を特定するための高度な動作分析が含まれます。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
11.8 金融機関は、サイバーセキュリティオペレーションによって、セキュリティ管理への潜在的な侵害やセキュリティ体制の弱体化を、継続的に防止および検出する必要があります。大規模な金融機関では、すべての重要なシステムをサポートする外部および内部のネットワークコンポーネントに対して、四半期ごとに脆弱性評価を行う必要もあります。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
11.8 金融機関は、サイバーセキュリティオペレーションによって、セキュリティ管理への潜在的な侵害やセキュリティ体制の弱体化を、継続的に防止および検出する必要があります。大規模な金融機関では、すべての重要なシステムをサポートする外部および内部のネットワークコンポーネントに対して、四半期ごとに脆弱性評価を行う必要もあります。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
11.23 金融機関は、包括的なサイバーインシデント対応計画 (CIRP) を策定し、実施する必要があります。CIRPは、以下のことに取り組まなければならない。(a) 準備 明確なガバナンス・プロセス、報告体制、サイバー緊急対応チーム(CERT) の役割と責任、およびインシデント発生時の発動とエスカレーション手順の確立 (b) 検出と分析 危険ポイントの特定、被害の範囲の評価、フォレンジックのための十分な証拠を保存するための有効かつ迅速なプロセスの確保 (c) 封じ込め、根絶および復旧 金融機関への損害を防止または最小化し、既知の脅威を取り除き、事業活動を再開するための是正措置を特定し、実施する (d) 事故後の活動 事故後の活動を行い、学んだ教訓を盛り込み、長期にわたるリスク軽減策の策定 - サイバーレスポンスとリカバリー response-plan-exists-maintained (process check) インシデント対応計画が確立および維持され、責任者に配布されていることを確認します。
11.25 金融機関は、取締役会メンバー、上級管理職、関連する第三者サービスプロバイダを含む主要なステークホルダーの参加を得て、現在および将来の様々な脅威シナリオ (ソーシャルエンジニアリングなど) に基づき、CIRP の有効性をテストするためのサイバー演習を毎年実施しなければなりません。テストシナリオは、テストするために設計されたシナリオを含める必要があります。(a) サイバーインシデントの様々な影響レベルに対応するエスカレーション、コミュニケーション、意思決定プロセスの有効性、および (b) 回復プロセスを支援する CERT および関連するサードパーティーサービスプロバイダの準備と有効性、をテストするように設計されたシナリオを含まなければなりません。- サイバーレスポンスとリカバリー response-plan-tested (Process Check) インシデント対応と復旧計画がテスト済みであることを確認します。これにより、インシデント発生時に計画が有効であるか、ギャップや更新に対処する必要があるかどうかを理解することができます。
13.1 金融機関は、すべての職員がそれぞれの役割を果たす上で、適切かつ定期的に技術およびサイバーセキュリティに関する意識向上教育を行い、教育・意識向上プログラムの有効性を測定しなければいけません。このサイバーセキュリティ啓発教育は、金融機関が少なくとも年1回実施し、現在のサイバー脅威の状況を反映させなければなりません。- 13. 社内での啓発とトレーニング security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
付録 5.1 すべてのセキュリティデバイスの設定およびルール設定を定期的に確認します。自動化ツールを使用して、設定およびルール設定の変更を確認し、モニタリングします。付録 5 サイバーセキュリティの管理措置

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
付録 5.1 すべてのセキュリティデバイスの設定およびルール設定を定期的に確認します。自動化ツールを使用して、設定およびルール設定の変更を確認し、モニタリングします。付録 5 サイバーセキュリティの管理措置

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
付録 5.5 (c) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(c) ファイアウォール、IPS、ウイルス対策など、適切な境界防御と保護を備えたステージングサーバーをデプロイする。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
付録 5.5 (c) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(c) ファイアウォール、IPS、ウイルス対策など、適切な境界防御と保護を備えたステージングサーバーをデプロイする。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
付録 5.5 (c) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(c) ファイアウォール、IPS、ウイルス対策など、適切な境界防御と保護を備えたステージングサーバーをデプロイする。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
付録 5.5 (c) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(c) ファイアウォール、IPS、ウイルス対策など、適切な境界防御と保護を備えたステージングサーバーをデプロイする。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
付録 5.5 (c) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(c) ファイアウォール、IPS、ウイルス対策など、適切な境界防御と保護を備えたステージングサーバーをデプロイする。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
付録 5.6 サーバーへのリモートアクセスに、以下のセキュリティコントロールが含まれていることを確認します。(a) 強化され、ロックダウンされたエンドポイントのデバイスのみにアクセスを制限する。(b) TLS や VPN IPSec などの安全なトンネルを使用する。(c) ファイアウォール、IPS、ウイルス対策などの適切な境界防御と保護を備えた「ゲートウェイ」サーバーをデプロイする。(d) リモートアクセスの有効期限が切れたら、すぐに関連するポートを閉じる。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
付録 5.5 (b) サーバー間の外部ネットワーク接続に、以下のセキュリティコントロールが含まれていることを確認します。(b) Transport Layer Security (TLS) やバーチャルプライベートネットワーク (VPN) IPSec などの安全なトンネルの使用。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for BNM RMiT」で入手できます。