翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
カナダサイバーセキュリティセンター (CCCS) 中規模クラウド制御プロファイルに関する運用面のベストプラクティス
コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、カナダサイバーセキュリティセンター (CCCS) の中規模クラウド制御プロファイルと、AWS 管理の設定ルール間におけるマッピングのサンプルを示します。各設定ルールは、特定の AWS リソースに適用され、また、 CCCS の中規模クラウド制御プロファイルでの、1 つ以上の制御と関連付けられます。CCCSC の中規模クラウド制御プロファイルは、複数の設定ルールと関連付けすることが可能です。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2(1) | AC-2 (1) アカウント管理 | 自動システムのアカウント管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2(3) | AC-2 (3) アカウント管理 | 非アクティブなアカウントの無効化 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2(3) | AC-2 (3) アカウント管理 | 非アクティブなアカウントの無効化 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2(4) | AC-2 (4) アカウント管理 | 自動監査アクション | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AC-2(4) | AC-2 (4) アカウント管理 | 自動監査アクション | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AC-2(4) | AC-2 (4) アカウント管理 | 自動監査アクション | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2(4) | AC-2 (4) アカウント管理 | 自動監査アクション | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2(4) | AC-2 (4) アカウント管理 | 自動監査アクション | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AC-2(4) | AC-2 (4) アカウント管理 | 自動監査アクション | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2(4) | AC-2 (4) アカウント管理 | 自動監査アクション | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.A | AC-2.A アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.B | AC-2.B アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.C | AC-2.C アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.D | AC-2.D アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.E | AC-2.E アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.F | AC-2.F アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.G | AC-2.G アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.H | AC-2.H アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.I | AC-2.I アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.J | AC-2.J アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-2.K | AC-2.K アカウントの管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-AC-3.A | AC-3.A アクセスの適用 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4(21) | AC-4 (21) 情報フローの適用 | 情報フローの物理的/論理的分離 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-AC-4.A | AC-4.A 情報フローの適用 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-AC-5.A | AC-5.A 職務の分離 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-5.A | AC-5.A 職務の分離 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-5.A | AC-5.A 職務の分離 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-5.A | AC-5.A 職務の分離 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-5.A | AC-5.A 職務の分離 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-6(1) | AC-6 (1) 最小特権 | セキュリティ機能に対するアクセスの許可 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-6(1) | AC-6 (1) 最小特権 | セキュリティ機能に対するアクセスの許可 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-6(1) | AC-6 (1) 最小特権 | セキュリティ機能に対するアクセスの許可 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-AC-6(1) | AC-6 (1) 最小特権 | セキュリティ機能に対するアクセスの許可 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-AC-6(1) | AC-6 (1) 最小特権 | セキュリティ機能に対するアクセスの許可 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-AC-6(2) | AC-6 (2) 最小特権 | 非セキュリティ機能に対する非特権アクセス | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-6(2) | AC-6 (2) 最小特権 | 非セキュリティ機能に対する非特権アクセス | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-6(2) | AC-6 (2) 最小特権 | 非セキュリティ機能に対する非特権アクセス | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-AC-6(2) | AC-6 (2) 最小特権 | 非セキュリティ機能に対する非特権アクセス | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-AC-6(2) | AC-6 (2) 最小特権 | 非セキュリティ機能に対する非特権アクセス | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-AC-6(5) | AC-6 (5) 最小特権 | 特権アカウント | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-6(5) | AC-6 (5) 最小特権 | 特権アカウント | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-AC-6(5) | AC-6 (5) 最小特権 | 特権アカウント | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-AC-6(5) | AC-6 (5) 最小特権 | 特権アカウント | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-AC-6(9) | AC-6 (9) 最小特権 | 特権を持つ機能の使用についての監査 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AC-6(9) | AC-6 (9) 最小特権 | 特権を持つ機能の使用についての監査 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AC-6(9) | AC-6 (9) 最小特権 | 特権を持つ機能の使用についての監査 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-6(9) | AC-6 (9) 最小特権 | 特権を持つ機能の使用についての監査 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AC-6(9) | AC-6 (9) 最小特権 | 特権を持つ機能の使用についての監査 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AC-6(9) | AC-6 (9) 最小特権 | 特権を持つ機能の使用についての監査 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-6(9) | AC-6 (9) 最小特権 | 特権を持つ機能の使用についての監査 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AC-6(10) | AC-6 (10) 最小特権 | 非特権ユーザーによる特権関数の実行の禁止 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-6(10) | AC-6 (10) 最小特権 | 非特権ユーザーによる特権関数の実行の禁止 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-6(10) | AC-6 (10) 最小特権 | 非特権ユーザーによる特権関数の実行の禁止 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-AC-6(10) | AC-6 (10) 最小特権 | 非特権ユーザーによる特権関数の実行の禁止 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-AC-6(10) | AC-6 (10) 最小特権 | 非特権ユーザーによる特権関数の実行の禁止 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-AC-6.A | AC-6.A 最小特権 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-AC-17(1) | AC-17 (1) リモートアクセス | 自動化されたモニタリングと制御 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AC-17(2) | AC-17 (2) リモートアクセス | 暗号化による機密性と整合性の保護 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-17(2) | AC-17 (2) リモートアクセス | 暗号化による機密性と整合性の保護 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-AC-17(2) | AC-17 (2) リモートアクセス | 暗号化による機密性と整合性の保護 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-AC-17(2) | AC-17 (2) リモートアクセス | 暗号化による機密性と整合性の保護 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17(2) | AC-17 (2) リモートアクセス | 暗号化による機密性と整合性の保護 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-17(2) | AC-17 (2) リモートアクセス | 暗号化による機密性と整合性の保護 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AC-17(3) | AC-17 (3) リモートアクセス | 管理型アクセスのコントロールポイント | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-17(4) | AC-17 (4) リモートアクセス | 特権を持つコマンドとアクセス | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-AC-17(4) | AC-17 (4) リモートアクセス | 特権を持つコマンドとアクセス | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-AC-17(4) | AC-17 (4) リモートアクセス | 特権を持つコマンドとアクセス | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-AC-17.A | AC-17.A リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-AC-17.AA | AC-17.AA リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-AC-17.B | AC-17.B リモートアクセス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-2.A | AU-2.A 監査イベント | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-2.B | AU-2.B 監査イベント | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-2.C | AU-2.C 監査イベント | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-2.D | AU-2.D 監査イベント | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-3(1) | AU-3 (1) 監査記録の内容 | 追加的な監査情報 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-3.A | AU-3.A 監査記録の内容 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-5.A | AU-5.A 監査処理の失敗に対する対応 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-AU-5.B | AU-5.B 監査処理の失敗に対する対応 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-AU-6(1) | AU-6 (1) 監査のレビュー、分析、および報告 | プロセスの統合 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-AU-6(1) | AU-6 (1) 監査のレビュー、分析、および報告 | プロセスの統合 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-6(1) | AU-6 (1) 監査のレビュー、分析、および報告 | プロセスの統合 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-6(1) | AU-6 (1) 監査のレビュー、分析、および報告 | プロセスの統合 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-AU-6(1) | AU-6 (1) 監査のレビュー、分析、および報告 | プロセスの統合 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-6(1) | AU-6 (1) 監査のレビュー、分析、および報告 | プロセスの統合 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-6(3) | AU-6 (3) 監査のレビュー、分析、および報告 | 監査リポジトリの相互関連付け | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-7(1) | AU-7 (1) 監査の削減と報告の生成 | 自動処理 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-8.B | AU-8.B タイムスタンプ | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-9(2) | AU-9 (2) 監査情報の保護 | 分離された物理システムおよびコンポーネントによる監査内容のバックアップ | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-AU-9(2) | AU-9 (2) 監査情報の保護 | 分離された物理システムおよびコンポーネントによる監査内容のバックアップ | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-AU-9(2) | AU-9 (2) 監査情報の保護 | 分離された物理システムおよびコンポーネントによる監査内容のバックアップ | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-AU-9.A | AU-9.A 監査情報の保護 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-AU-9.A | AU-9.A 監査情報の保護 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-AU-9.A | AU-9.A 監査情報の保護 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-AU-11.A | AU-11.A 監査記録の保持 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-AU-11.B | AU-11.B 監査記録の保持 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-AU-11.C | AU-11.C 監査記録の保持 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-12.A | AU-12.A 監査の生成 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-AU-12.C | AU-12.C 監査の生成 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-CA-3(5) | CA-3 (5) システムの相互接続 | 外部ネットワークへの接続の制限 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。X-Ray を有効にして、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できるようにします。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CA-7.A | CA-7.A 継続的なモニタリング | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。X-Ray を有効にして、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できるようにします。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CA-7.B | CA-7.B 継続的なモニタリング | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。X-Ray を有効にして、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できるようにします。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CA-7.C | CA-7.C 継続的なモニタリング | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。X-Ray を有効にして、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できるようにします。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CA-7.D | CA-7.D 継続的なモニタリング | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。X-Ray を有効にして、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できるようにします。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CA-7.E | CA-7.E 継続的なモニタリング | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。X-Ray を有効にして、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できるようにします。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CA-7.F | CA-7.F 継続的なモニタリング | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。X-Ray を有効にして、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できるようにします。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CA-7.G | CA-7.G 継続的なモニタリング | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-CA-9.A | CA-9.A 内部システムの接続 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-CM-2.A | CM-2.A ベースラインの設定 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-2.A | CM-2.A ベースラインの設定 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-2.A | CM-2.A ベースラインの設定 | このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。 | |
| CCCS-fPBMM-CM-2.A | CM-2.A ベースラインの設定 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| CCCS-fPBMM-CM-2.A | CM-2.A ベースラインの設定 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CM-2.A | CM-2.A ベースラインの設定 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-2.A | CM-2.A ベースラインの設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-3.A | CM-3.A 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-3.A | CM-3.A 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-3.B | CM-3.B 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-3.B | CM-3.B 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-3.C | CM-3.C 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-3.C | CM-3.C 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-3.D | CM-3.D 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-3.D | CM-3.D 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-3.E | CM-3.E 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-3.E | CM-3.E 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-3.F | CM-3.F 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-3.F | CM-3.F 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-3.G | CM-3.G 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-3.G | CM-3.G 設定変更の管理 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CM-5(1) | CM-5 (1) 変更アクセスの制限 | 自動化されたアクセスの適用と監査 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-CM-5(5) | CM-5 (5) 変更アクセスの制限 | 本番向けおよび運用向け権限の制限 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-CM-5.A | CM-5.A 変更アクセスの制限 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6(1) | CM-6 (1) 構成の設定 | 自動化された一元管理、アプリケーション、および検証 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-6(1) | CM-6 (1) 構成の設定 | 自動化された一元管理、アプリケーション、および検証 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-6(1) | CM-6 (1) 構成の設定 | 自動化された一元管理、アプリケーション、および検証 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-CM-6.A | CM-6.A 構成の設定 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-CM-6.B | CM-6.B 構成の設定 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-CM-6.C | CM-6.C 構成の設定 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-CM-6.D | CM-6.D 構成の設定 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-CM-7.A | CM-7.A 最小限の機能 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CM-7.A | CM-7.A 最小限の機能 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-7.B | CM-7.B 最小限の機能 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-CM-7.B | CM-7.B 最小限の機能 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CM-8(1) | CM-8 (1) 情報システムコンポーネントのインベントリ | インストール中あるいは削除中の更新 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8(1) | CM-8 (1) 情報システムコンポーネントのインベントリ | インストール中あるいは削除中の更新 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-8(2) | CM-8 (2) 情報システムコンポーネントのインベントリ | 自動化されたメンテナンス | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8(2) | CM-8 (2) 情報システムコンポーネントのインベントリ | 自動化されたメンテナンス | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-8(3) | CM-8 (3) 情報システムコンポーネントのインベントリ | 非認証コンポーネントの自動検出 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8(3) | CM-8 (3) 情報システムコンポーネントのインベントリ | 非認証コンポーネントの自動検出 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-8(3) | CM-8 (3) 情報システムコンポーネントのインベントリ | 非認証コンポーネントの自動検出 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-CM-8(3) | CM-8 (3) 情報システムコンポーネントのインベントリ | 非認証コンポーネントの自動検出 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-CM-8.A | CM-8.A 情報システムコンポーネントのインベントリ | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8.A | CM-8.A 情報システムコンポーネントのインベントリ | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-8.B | CM-8.B 情報システムのコンポーネントのインベントリ | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8.B | CM-8.B 情報システムのコンポーネントのインベントリ | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-8.C | CM-8.C 情報システムのコンポーネントのインベントリ | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8.C | CM-8.C 情報システムのコンポーネントのインベントリ | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-8.D | CM-8.D 情報システムのコンポーネントのインベントリ | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8.D | CM-8.D 情報システムのコンポーネントのインベントリ | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CM-8.E | CM-8.E 情報システムのコンポーネントのインベントリ | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-CM-8.E | CM-8.E 情報システムのコンポーネントのインベントリ | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-2(5) | CP-2 (5) 緊急時対応計画 | 重要なミッションとビジネス機能の継続 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2(6) | CP-2 (6) 緊急時対応計画 | 代替的なプロセス処理とストレージサイト | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2(6) | CP-2 (6) 緊急時対応計画 | 代替的なプロセス処理とストレージサイト | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2(6) | CP-2 (6) 緊急時対応計画 | 代替的なプロセス処理とストレージサイト | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CP-2(6) | CP-2 (6) 緊急時対応計画 | 代替的なプロセス処理とストレージサイト | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2(6) | CP-2 (6) 緊急時対応計画 | 代替的なプロセス処理とストレージサイト | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2(6) | CP-2 (6) 緊急時対応計画 | 代替的なプロセス処理とストレージサイト | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.A | CP-2.A 緊急時対応計画 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.B | CP-2.B 緊急時対応計画 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.C | CP-2.C 緊急時対応計画 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.D | CP-2.D 緊急時対応計画 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.E | CP-2.E 緊急時対応計画 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.F | CP-2.F 緊急時対応計画 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-2.G | CP-2.G 緊急時対応計画 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-6(1) | CP-6 (1) 代替のストレージサイト | プライマリサイトからの分離 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-6(2) | CP-6 (2) 代替のストレージサイト | 目標復旧時間と目標復旧ポイント | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-6.A | CP-6.A 代替のストレージサイト | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-6.B | CP-6.B 代替のストレージサイト | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-9(3) | CP-9 (3) 情報システムのバックアップ | 重要な情報のための分離されたストレージ | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-9(7) | CP-9 (7) 情報システムのバックアップ | 二重認証 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-9(7) | CP-9 (7) 情報システムのバックアップ | 二重認証 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-9.A | CP-9.A 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-9.AA | CP-9.AA 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-9.B | CP-9.B 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-9.C | CP-9.C 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-9.D | CP-9.D 情報システムのバックアップ | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CCCS-fPBMM-CP-10.A | CP-10.A 情報システムの復旧と再構築 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-IA-2(1) | IA-2 (1) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのネットワークアクセス | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-2(1) | IA-2 (1) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのネットワークアクセス | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-2(1) | IA-2 (1) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのネットワークアクセス | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-2(3) | IA-2 (3) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのローカルアクセス | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-2(3) | IA-2 (3) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのローカルアクセス | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-2(3) | IA-2 (3) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのローカルアクセス | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-2(8) | IA-2 (8) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのネットワークアクセス – リプレイへの耐性 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-2(8) | IA-2 (8) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのネットワークアクセス – リプレイへの耐性 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-2(8) | IA-2 (8) 身分証明書と認証 (組織のユーザー) | 特権アカウントへのネットワークアクセス – リプレイへの耐性 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-2(11) | IA-2 (11) 身分証明書と認証 (組織のユーザー) | リモートアクセス – 個別のデバイス | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-2(11) | IA-2 (11) 身分証明書と認証 (組織のユーザー) | リモートアクセス – 個別のデバイス | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-2(11) | IA-2 (11) 身分証明書と認証 (組織のユーザー) | リモートアクセス – 個別のデバイス | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-2.A | IA-2.A 身分証明書と認証 (組織のユーザー) | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-2.A | IA-2.A 身分証明書と認証 (組織のユーザー) | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-2.A | IA-2.A 身分証明書と認証 (組織のユーザー) | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-2.A | IA-2.A 身分証明書と認証 (組織のユーザー) | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-4(4) | IA-4 (4) 識別子の管理 | ユーザーステータスの識別 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-IA-4.A | IA-4.A 識別子の管理 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.A | IA-4.A 識別子の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.A | IA-4.A 識別子の管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-IA-4.B | IA-4.B 識別子の管理 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.B | IA-4.B 識別子の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.B | IA-4.B 識別子の管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-IA-4.C | IA-4.C 識別子の管理 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.C | IA-4.C 識別子の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.C | IA-4.C 識別子の管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-IA-4.D | IA-4.D 識別子の管理 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.D | IA-4.D 識別子の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.D | IA-4.D 識別子の管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-IA-4.E | IA-4.E 識別子の管理 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.E | IA-4.E 識別子の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-4.E | IA-4.E 識別子の管理 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-IA-5(1) | IA-5 (1) Authenticator の管理 | パスワードベースの認証 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5(2) | IA-5 (2) Authenticator の管理 | PKI ベースの認証 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-IA-5(2) | IA-5 (2) Authenticator の管理 | PKI ベースの認証 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-IA-5(4) | IA-5 (4) Authenticator の管理 | 自動的なパスワード強度特定のサポート | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5(8) | IA-5 (8) Authenticator の管理 | 複数の情報システムのアカウント | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-IA-5(8) | IA-5 (8) Authenticator の管理 | 複数の情報システムのアカウント | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5(8) | IA-5 (8) Authenticator の管理 | 複数の情報システムのアカウント | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.A | IA-5.A Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.A | IA-5.A Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.A | IA-5.A Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.A | IA-5.A Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.B | IA-5.B Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.B | IA-5.B Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.B | IA-5.B Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.B | IA-5.B Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.C | IA-5.C Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.C | IA-5.C Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.C | IA-5.C Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.C | IA-5.C Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.D | IA-5.D Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.D | IA-5.D Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.D | IA-5.D Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.D | IA-5.D Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.E | IA-5.E Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.E | IA-5.E Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.E | IA-5.E Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.E | IA-5.E Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.F | IA-5.F Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.F | IA-5.F Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.F | IA-5.F Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.F | IA-5.F Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.G | IA-5.G Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.G | IA-5.G Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.G | IA-5.G Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.G | IA-5.G Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.H | IA-5.H Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.H | IA-5.H Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.H | IA-5.H Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.H | IA-5.H Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.I | IA-5.I Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.I | IA-5.I Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.I | IA-5.I Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.I | IA-5.I Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IA-5.J | IA-5.J Authenticator の管理 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-IA-5.J | IA-5.J Authenticator の管理 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| CCCS-fPBMM-IA-5.J | IA-5.J Authenticator の管理 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| CCCS-fPBMM-IA-5.J | IA-5.J Authenticator の管理 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
| CCCS-fPBMM-IR-6(1) | IR-6 (1) インシデントの報告 | 自動化された報告 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-MA-3.A | MA-3.A メンテナンスツール | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-MA-3.A | MA-3.A メンテナンスツール | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-MA-4(1) | MA-4 (1) 非ローカルでのメンテナンス | 監査とレビュー | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-MP-2.A | MP-2.A メディアへのアクセス | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-RA-5.A | RA-5.A 脆弱性スキャン | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-RA-5.B | RA-5.B 脆弱性スキャン | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-RA-5.C | RA-5.C 脆弱性スキャン | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-RA-5.D | RA-5.D 脆弱性スキャン | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-RA-5.E | RA-5.E 脆弱性スキャン | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SA-10(1) | SA-10 (1) デベロッパー向け設定の管理 | ソフトウェアおよびファームウェアの整合性の検証 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SC-5.A | SC-5.A サービス拒否からの保護 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| CCCS-fPBMM-SC-5.A | SC-5.A サービス拒否からの保護 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CCCS-fPBMM-SC-6.A | SC-6.A リソースの可用性 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-SC-7(3) | SC-7 (3) 境界の保護 | アクセスポイント | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-SC-7(4) | SC-7 (4) 境界の保護 | 外部のテレコミュニケーションサービス | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-SC-7(5) | SC-7 (5) 境界の保護 | デフォルトによる拒否と例外による許可 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-SC-7(5) | SC-7 (5) 境界の保護 | デフォルトによる拒否と例外による許可 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7(5) | SC-7 (5) 境界の保護 | デフォルトによる拒否と例外による許可 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-SC-7(5) | SC-7 (5) 境界の保護 | デフォルトによる拒否と例外による許可 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-SC-7(7) | SC-7 (7) 境界の保護 | リモートデバイスに対するスプリットトンネリングの防止 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-SC-7.A | SC-7.A 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-SC-7.B | SC-7.B 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CCCS-fPBMM-SC-7.C | SC-7.C 境界の保護 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8(1) | SC-8 (1) 伝送の機密性と整合性 | 暗号化または代替の物理的保護 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-8.A | SC-8.A 伝送の機密性と整合性 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-12(1) | SC-12 (1) 暗号化キーの確立と管理 | 可用性 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| CCCS-fPBMM-SC-12(2) | SC-12 (2) 暗号化キーの確立と管理 | 対象キー | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| CCCS-fPBMM-SC-12(2) | SC-12 (2) 暗号化キーの確立と管理 | 対象キー | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| CCCS-fPBMM-SC-12.A | SC-12.A 暗号化キーの確立と管理 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| CCCS-fPBMM-SC-12.A | SC-12.A 暗号化キーの確立と管理 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-13.A | SC-13.A 暗号化による保護 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-22.A | SC-22.A 名前およびアドレスの解決サービス用のアーキテクチャとプロビジョニング | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-23.A | SC-23.A セッションの認証性 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28(1) | SC-28 (1) 保存中の情報に対する保護 | 暗号化による保護 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SC-28.A | SC-28.A 保存中の情報に対する保護 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-SI-2(2) | SI-2 (2) 欠陥修復 | 自動的な欠陥修復のステータス | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2(3) | SI-2 (3) 欠陥の修復 | 欠陥の修復にかかる時間/修正アクションに関するベンチマーク | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-SI-2.A | SI-2.A 欠陥修復 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-SI-2.B | SI-2.B 欠陥修復 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-SI-2.C | SI-2.C 欠陥修復 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CCCS-fPBMM-SI-2.D | SI-2.D 欠陥修復 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CCCS-fPBMM-SI-3(1) | SI-3 (1) 悪意のあるコードからの保護 | 一元的な管理 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-3(7) | SI-3 (7) 悪意のあるコードからの保護 | 署名ベース以外での検出 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-3.A | SI-3.A 悪意のあるコードからの保護 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| CCCS-fPBMM-SI-3.A | SI-3.A 悪意のあるコードからの保護 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-3.A | SI-3.A 悪意のあるコードからの保護 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-3.A | SI-3.A 悪意のあるコードからの保護 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-3.A | SI-3.A 悪意のあるコードからの保護 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-3.B | SI-3.B 悪意のあるコードからの保護 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-3.B | SI-3.B 悪意のあるコードからの保護 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-3.B | SI-3.B 悪意のあるコードからの保護 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-3.B | SI-3.B 悪意のあるコードからの保護 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-3.C | SI-3.C 悪意のあるコードからの保護 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-3.C | SI-3.C 悪意のあるコードからの保護 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-3.C | SI-3.C 悪意のあるコードからの保護 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-3.C | SI-3.C 悪意のあるコードからの保護 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-3.D | SI-3.D 悪意のあるコードからの保護 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CCCS-fPBMM-SI-3.D | SI-3.D 悪意のあるコードからの保護 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CCCS-fPBMM-SI-3.D | SI-3.D 悪意のあるコードからの保護 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CCCS-fPBMM-SI-3.D | SI-3.D 悪意のあるコードからの保護 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4(1) | SI-4 (1) 情報システムのモニタリング | システム全体の侵入検知システム | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4(1) | SI-4 (1) 情報システムのモニタリング | システム全体の侵入検知システム | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4(2) | SI-4 (2) 情報システムのモニタリング | リアルタイム分析のための自動化ツール | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4(2) | SI-4 (2) 情報システムのモニタリング | リアルタイム分析のための自動化ツール | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4(4) | SI-4 (4) 情報システムのモニタリング | インバウンドとアウトバウンドの通信トラフィック | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4(4) | SI-4 (4) 情報システムのモニタリング | インバウンドとアウトバウンドの通信トラフィック | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CCCS-fPBMM-SI-4(5) | SI-4 (5) 情報システムのモニタリング | システムで生成されたアラート | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4(11) | SI-4 (11) 情報システムのモニタリング | 通信トラフィックにおける異常の分析 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4(11) | SI-4 (11) 情報システムのモニタリング | 通信トラフィックにおける異常の分析 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4(16) | SI-4 (16) 情報システムのモニタリング | モニタリング情報の相互関連付け | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4(16) | SI-4 (16) 情報システムのモニタリング | モニタリング情報の相互関連付け | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4(20) | SI-4 (20) 情報システムのモニタリング | 特権ユーザー | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| CCCS-fPBMM-SI-4(23) | SI-4 (23) 情報システムのモニタリング | ホストベースのデバイス | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CCCS-fPBMM-SI-4(23) | SI-4 (23) 情報システムのモニタリング | ホストベースのデバイス | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CCCS-fPBMM-SI-4.A | SI-4.A 情報システムのモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4.A | SI-4.A 情報システムのモニタリング | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-4.A | SI-4.A 情報システムのモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4.A | SI-4.A 情報システムのモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-4.A | SI-4.A 情報システムのモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4.B | SI-4.B 情報システムのモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4.B | SI-4.B 情報システムのモニタリング | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-4.B | SI-4.B 情報システムのモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4.B | SI-4.B 情報システムのモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-4.B | SI-4.B 情報システムのモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4.C | SI-4.C 情報システムのモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4.C | SI-4.C 情報システムのモニタリング | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-4.C | SI-4.C 情報システムのモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4.C | SI-4.C 情報システムのモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-4.C | SI-4.C 情報システムのモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4.D | SI-4.D 情報システムのモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4.D | SI-4.D 情報システムのモニタリング | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-4.D | SI-4.D 情報システムのモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4.D | SI-4.D 情報システムのモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-4.D | SI-4.D 情報システムのモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4.E | SI-4.E 情報システムのモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4.E | SI-4.E 情報システムのモニタリング | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-4.E | SI-4.E 情報システムのモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4.E | SI-4.E 情報システムのモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-4.E | SI-4.E 情報システムのモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4.F | SI-4.F 情報システムのモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4.F | SI-4.F 情報システムのモニタリング | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-4.F | SI-4.F 情報システムのモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4.F | SI-4.F 情報システムのモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-4.F | SI-4.F 情報システムのモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-4.G | SI-4.G 情報システムのモニタリング | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CCCS-fPBMM-SI-4.G | SI-4.G 情報システムのモニタリング | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-4.G | SI-4.G 情報システムのモニタリング | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-4.G | SI-4.G 情報システムのモニタリング | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CCCS-fPBMM-SI-4.G | SI-4.G 情報システムのモニタリング | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CCCS-fPBMM-SI-5.A | SI-5.A セキュリティアラート、勧告、および指示 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-5.B | SI-5.B セキュリティアラート、勧告、および指示 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-5.C | SI-5.C セキュリティアラート、勧告、および指示 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-5.D | SI-5.D セキュリティアラート、勧告、および指示 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CCCS-fPBMM-SI-7(1) | SI-7 (1) ソフトウェア、ファームウェア、および情報の整合性 | 整合性の確認 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-7(7) | SI-7 (7) ソフトウェア、ファームウェア、および情報の整合性 | 検出と対応の統合 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-7.A | SI-7.A ソフトウェア、ファームウェア、および情報の整合性 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| CCCS-fPBMM-SI-12.A | SI-12.A 情報の取り扱いと保持 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 |
テンプレート
テンプレートは、GitHub の「Operational Best Practices for Canadian Centre for Cyber Security (CCCS) Medium Cloud Control Profile
