翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CIS 重要なセキュリティコントロールの運用上のベストプラクティス v8 IG2
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、Center for Internet Security (CIS) の「Critical Security Controls v8IG2」と、 AWS マネージド Config ルール間のマッピングの例を示します。各 は特定の AWS リソース AWS Config に適用され、1 つ以上の CIS Critical Security Controls v8 IG2コントロールに関連付けられます。CIS Critical Security Controls v8 IG2コントロールは、複数の AWS Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
---|---|---|---|
1.1 | 詳細なエンタープライズアセットインベントリを確立して維持する | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) IPsに割り当てられた Elastic が Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされます。このルールは、 環境で使用されていない をモニタリングEIPsするのに役立ちます。 | |
1.1 | 詳細なエンタープライズアセットインベントリを確立して維持する | このルールを有効にすると、組織の標準に従って、Amazon インスタンスが許可されている日数を超えて停止されているかどうかをチェックし、Amazon Elastic Compute Cloud (Amazon EC2) EC2インスタンスのベースライン設定に役立ちます。 | |
1.1 | 詳細なエンタープライズアセットインベントリを確立して維持する | このルールにより、Amazon Virtual Private Cloud (VPC) ネットワークアクセスコントロールリストが確実に使用されます。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。 | |
1.1 | 詳細なエンタープライズアセットインベントリを確立して維持する | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
1.1 | 詳細なエンタープライズアセットインベントリを確立して維持する | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
1.1 | 詳細なエンタープライズアセットインベントリを確立して維持する | このルールにより、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは にアタッチされますENI。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。 | |
2.2 | 認可されたソフトウェアが現在サポートされていることを確認する | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
2.2 | 認可されたソフトウェアが現在サポートされていることを確認する | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
2.2 | 認可されたソフトウェアが現在サポートされていることを確認する | セキュリティの更新とパッチは、 AWS Fargate タスクに自動的にデプロイされます。Fargate プラットフォームのバージョンに影響するセキュリティ上の問題が見つかった場合、 は AWS プラットフォームのバージョンを AWS パッチします。 AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するために、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。 | |
2.4 | 自動化されたソフトウェアインベントリツールを利用する | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
2.4 | 自動化されたソフトウェアインベントリツールを利用する | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Elastic Compute Cloud (Amazon IMDSv2) インスタンスメタデータへのアクセスと制御を保護するために、インスタンスメタデータサービスバージョン 2 (EC2) メソッドが有効になっていることを確認します。IMDSv2 メソッドはセッションベースのコントロールを使用します。ではIMDSv2、インスタンスメタデータへの変更を制限するコントロールを実装できます。 | |
3.3 | データのアクセスコントロールリストを設定する | EC2 インスタンスプロファイルは、 IAMロールをEC2インスタンスに渡します。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
3.3 | データのアクセスコントロールリストを設定する | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 DMSレプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
3.3 | データのアクセスコントロールリストを設定する | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
3.3 | データのアクセスコントロールリストを設定する | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
3.3 | データのアクセスコントロールリストを設定する | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.3 | データのアクセスコントロールリストを設定する | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
3.3 | データのアクセスコントロールリストを設定する | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
3.3 | データのアクセスコントロールリストを設定する | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
3.3 | データのアクセスコントロールリストを設定する | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
3.3 | データのアクセスコントロールリストを設定する | 最小特権の原則の実装を支援するために、ルート以外のユーザーが Amazon Elastic Container Service (Amazon ECS) タスク定義にアクセスできるように指定されていることを確認してください。 | |
3.3 | データのアクセスコントロールリストを設定する | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
3.3 | データのアクセスコントロールリストを設定する | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを強制すると、アクセスポイントのユーザーが指定されたサブディレクトリのファイルにのみ到達できるようにすることで、データアクセスを制限できます。 | |
3.4 | データ保持を実施する | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
3.4 | データ保持を実施する | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
3.10 | 転送時に機密データを暗号化する | Amazon API Gateway RESTAPIステージにSSL証明書が設定され、バックエンドシステムがリクエストが API Gateway から発信されたことを認証できるようにします。 | |
3.10 | 転送時に機密データを暗号化する | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.10 | 転送時に機密データを暗号化する | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
3.10 | 転送時に機密データを暗号化する | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.10 | 転送時に機密データを暗号化する | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.10 | 転送時に機密データを暗号化する | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.10 | 転送時に機密データを暗号化する | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
3.10 | 転送時に機密データを暗号化する | 機密データが存在する可能性があるため、転送中のデータを保護するために、Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
3.10 | 転送時に機密データを暗号化する | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.10 | 転送時に機密データを暗号化する | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 機密データが含まれている可能性があるため、 AWS CloudTrail 証跡の暗号化を有効にして保管中のデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
3.11 | 保管中の機密データを暗号化する | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、Amazon Redshift クラスターで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが保管中に存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、Secrets Manager シー AWS クレットで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service () を使用した AWS 暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.11 | 保管中の機密データを暗号化する | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS が所有するカスタマーマスターキー () で暗号化されますCMK。 | |
3.11 | 保管中の機密データを暗号化する | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
4.1 | 安全な設定プロセスを確立および維持する | Organizations AWS アカウント 内の AWS を一元管理することで、アカウントが確実に準拠するようにできます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
4.1 | 安全な設定プロセスを確立および維持する | このルールを有効にすると、組織の標準に従って、Amazon インスタンスが許可されている日数を超えて停止されているかどうかをチェックして、Amazon Elastic Compute Cloud (Amazon EC2) EC2インスタンスのベースライン設定に役立ちます。 | |
4.1 | 安全な設定プロセスを確立および維持する | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームは、インスタンスが終了したときに削除対象としてマークされます。アタッチされているインスタンスが終了したときに Amazon EBSボリュームが削除されない場合、最小機能の概念に違反する可能性があります。 | |
4.1 | 安全な設定プロセスを確立および維持する | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
4.1 | 安全な設定プロセスを確立および維持する | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
4.1 | 安全な設定プロセスを確立および維持する | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
4.1 | 安全な設定プロセスを確立および維持する | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを強制すると、アクセスポイントのユーザーが指定されたサブディレクトリのファイルにのみ到達できるようにすることで、データアクセスを制限できます。 | |
4.1 | 安全な設定プロセスを確立および維持する | このルールにより、 AWS Secrets Manager シークレットのローテーションが有効になります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
4.1 | 安全な設定プロセスを確立および維持する | 認証情報は、組織ポリシーで指定されたIAMとおりにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
4.6 | エンタープライズアセットとソフトウェアを安全に管理する | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
4.6 | エンタープライズアセットとソフトウェアを安全に管理する | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
4.6 | エンタープライズアセットとソフトウェアを安全に管理する | Amazon API Gateway RESTAPIステージにSSL証明書が設定され、バックエンドシステムがリクエストが API Gateway から発信されたことを認証できるようにします。 | |
4.6 | エンタープライズアセットとソフトウェアを安全に管理する | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
4.6 | エンタープライズアセットとソフトウェアを安全に管理する | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
4.6 | エンタープライズアセットとソフトウェアを安全に管理する | 機密データが存在する可能性があるため、転送中のデータを保護するために、Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
4.7 | 企業のアセットとソフトウェアのデフォルトアカウントを管理する | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
5.1 | アカウントのインベントリを確立および維持する | Organizations AWS アカウント 内の AWS を一元管理することで、アカウントが確実に準拠するようにできます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
5.2 | 一意のパスワードを使用する | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true)、 RequireNumbers (AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
5.2 | 一意のパスワードを使用する | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
5.2 | 一意のパスワードを使用する | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、サインイン認証情報の上に保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
5.2 | 一意のパスワードを使用する | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
5.3 | 休眠アカウントを無効化する | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
5.4 | 管理者権限を専用の管理者アカウントに限定する | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
5.4 | 管理者権限を専用の管理者アカウントに限定する | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
5.6 | アカウント管理を一元化する | Organizations AWS アカウント 内の AWS を一元管理することで、アカウントが確実に準拠するようにできます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
6.4 | リモートネットワークアクセスMFAを要求する | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
6.4 | リモートネットワークアクセスMFAを要求する | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、サインイン認証情報の上に保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
6.4 | リモートネットワークアクセスMFAを要求する | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
6.5 | 管理アクセスMFAに を要求する | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
6.7 | アクセスコントロールを一元化する | Organizations AWS アカウント 内の AWS を一元管理することで、アカウントが確実に準拠するようにできます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
7.1 | 脆弱性管理プロセスを確立および維持する | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
7.1 | 脆弱性管理プロセスを確立および維持する | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
7.1 | 脆弱性管理プロセスを確立および維持する | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
7.3 | 自動化されたオペレーティングシステムのパッチ管理を実行する | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
7.3 | 自動化されたオペレーティングシステムのパッチ管理を実行する | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
7.3 | 自動化されたオペレーティングシステムのパッチ管理を実行する | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
7.4 | 自動化されたアプリケーションパッチ管理を実行する | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
7.4 | 自動化されたアプリケーションパッチ管理を実行する | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
7.4 | 自動化されたアプリケーションパッチ管理を実行する | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
7.5 | 内部のエンタープライズアセットの脆弱性スキャンを自動的に実行する | Amazon Elastic Container Repository (ECR) イメージスキャンは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性の検証レイヤーが追加されます。 | |
8.1 | 監査ログの管理プロセスを確立および維持する | audit-log-policy-exists (プロセスチェック) | 組織のログ要件を定義する、監査ログの管理ポリシーを確立して維持します。これには監査ログのレビューと保持が含まれますが、これらに限定されるわけではありません。 |
8.2 | 監査ログを収集する | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
8.2 | 監査ログを収集する | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合 CloudTrail 、 はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
8.2 | 監査ログを収集する | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
8.2 | 監査ログを収集する | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
8.2 | 監査ログを収集する | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
8.2 | 監査ログを収集する | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
8.2 | 監査ログを収集する | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
8.2 | 監査ログを収集する | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
8.2 | 監査ログを収集する | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
8.2 | 監査ログを収集する | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
8.2 | 監査ログを収集する | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
8.2 | 監査ログを収集する | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
8.2 | 監査ログを収集する | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
8.3 | 適切な監査ログのストレージを確保する | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
8.5 | 詳細な監査ログを収集する | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
8.5 | 詳細な監査ログを収集する | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合 CloudTrail 、 はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
8.5 | 詳細な監査ログを収集する | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
8.5 | 詳細な監査ログを収集する | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
8.5 | 詳細な監査ログを収集する | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
8.5 | 詳細な監査ログを収集する | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
8.5 | 詳細な監査ログを収集する | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
8.5 | 詳細な監査ログを収集する | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
8.5 | 詳細な監査ログを収集する | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
8.5 | 詳細な監査ログを収集する | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
8.5 | 詳細な監査ログを収集する | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
8.5 | 詳細な監査ログを収集する | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
8.5 | 詳細な監査ログを収集する | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
8.5 | 詳細な監査ログを収集する | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
8.7 | URL リクエスト監査ログの収集 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
8.9 | 監査ログを一元管理する | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
8.10 | 監査ログを保持する | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
8.10 | 監査ログを保持する | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
10.1 | マルウェア対策ソフトウェアのデプロイと維持 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
10.2 | マルウェア対策の署名の自動更新を設定する | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
10.4 | リムーバブルメディアのマルウェア対策の自動スキャンを設定する | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
10.6 | マルウェア対策ソフトウェアを一元管理する | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
10.7 | 動作ベースのマルウェア対策ソフトウェアを使用する | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
11.2 | 自動バックアップを実行する | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
11.2 | 自動バックアップを実行する | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
11.2 | 自動バックアップを実行する | Amazon Elastic Block Store (Amazon EBS) の最適化されたインスタンスは、Amazon EBS I/O オペレーション用の追加の専用容量を提供します。この最適化は、Amazon EBS I/O オペレーションとインスタンスからの他のトラフィック間の競合を最小限に抑えることで、EBSボリュームの最も効率的なパフォーマンスを提供します。 | |
11.2 | 自動バックアップを実行する | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でリカバリが有効になっていること point-in-timeを確認することで、バックアップも維持されます。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
11.2 | 自動バックアップを実行する | 自動バックアップを有効にすると、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
11.2 | 自動バックアップを実行する | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
11.2 | 自動バックアップを実行する | Amazon のバックアップ機能は、データベースとトランザクションログのバックアップRDSを作成します。Amazon は DB インスタンスのストレージボリュームスナップショットRDSを自動的に作成し、DB インスタンス全体をバックアップします。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
11.2 | 自動バックアップを実行する | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
11.2 | 自動バックアップを実行する | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
11.2 | 自動バックアップを実行する | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
11.2 | 自動バックアップを実行する | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
11.2 | 自動バックアップを実行する | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
11.3 | リカバリデータを保護する | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
11.3 | リカバリデータを保護する | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
11.3 | リカバリデータを保護する | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
11.3 | リカバリデータを保護する | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | Amazon Elastic Block Store (Amazon EBS) の最適化されたインスタンスは、Amazon EBS I/O オペレーション用の追加の専用容量を提供します。この最適化は、Amazon EBS I/O オペレーションとインスタンスからの他のトラフィック間の競合を最小限に抑えることで、EBSボリュームの最も効率的なパフォーマンスを提供します。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でリカバリが有効になっていること point-in-timeを確認することで、バックアップも維持されます。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | 自動バックアップを有効にすると、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | Amazon のバックアップ機能は、データベースとトランザクションログのバックアップRDSを作成します。Amazon は DB インスタンスのストレージボリュームスナップショットRDSを自動的に作成し、DB インスタンス全体をバックアップします。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
11.4 | リカバリデータの独立したインスタンスを確立して維持する | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | X509 証明書が によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します AWS ACM。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS 基礎セキュリティのベストプラクティス値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターのマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできません。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | 強化されたVPCルーティングにより、クラスターCOPYとデータリポジトリ間のすべての および UNLOADトラフィックが Amazon を経由するように強制されますVPC。その後、セキュリティグループやネットワークアクセスコントロールリストなどのVPC機能を使用して、ネットワークトラフィックを保護できます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Elastic Load Balancer (ELBs) のクロスゾーン負荷分散を有効にして、適切な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Relational Database Service (Amazon RDS) インスタンスで削除保護が有効になっていることを確認します。削除保護を使用して、Amazon RDSインスタンスが誤って、または悪意を持って削除され、アプリケーションの可用性が失われるのを防ぎます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | 冗長 Site-to-SiteVPNトンネルを実装して、耐障害性要件を満たすことができます。2 つのトンネルを使用して、接続の 1 つが使用できなくなった場合VPNの接続を確保します Site-to-Site。接続が失われるのを防ぐために、カスタマーゲートウェイが使用できなくなった場合は、2 番目の Site-to-Siteカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) と仮想プライベートゲートウェイへの 2 番目のVPN接続を設定できます。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
12.2 | 安全なネットワークアーキテクチャを確立および維持する | Elastic Load Balancing (ELB) は、アベイラビリティーゾーン内のEC2インスタンス、コンテナ、IP アドレスなど、複数のターゲットに受信トラフィックを自動的に分散します。高可用性を確保するには、 ELBが複数のアベイラビリティーゾーンからインスタンスを登録していることを確認します。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | Amazon API Gateway RESTAPIステージにSSL証明書が設定されていることを確認し、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
12.3 | ネットワークインフラストラクチャを安全に管理する | 機密データが存在する可能性があるため、転送中のデータを保護するために、Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | Amazon API Gateway RESTAPIステージにSSL証明書が設定されていることを確認し、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
12.6 | 安全なネットワーク管理と通信プロトコルを使用する | 機密データが存在する可能性があるため、転送中のデータを保護するために、Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
13.1 | セキュリティイベントのアラートを一元化する | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
13.1 | セキュリティイベントのアラートを一元化する | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
13.3 | ネットワーク侵入検知ソリューションをデプロイする | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
13.6 | ネットワークトラフィックのフローログを収集する | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
13.6 | ネットワークトラフィックのフローログを収集する | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
16.1 | 安全なアプリケーション開発プロセスを確立および維持する | AWS Codebuild プロジェクト環境内に認証情報 AWS_ACCESS_KEY_ID と が存在しない AWS_SECRET_ACCESS_KEY ことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
16.1 | 安全なアプリケーション開発プロセスを確立および維持する | GitHub または Bitbucket ソースリポジトリに、Codebuild プロジェクト環境内の AWS 個人用アクセストークン、サインイン認証情報が含まれURLていないことを確認します。個人用アクセストークンまたはサインイン認証情報OAuthの代わりに を使用して、 GitHub または Bitbucket リポジトリへのアクセスの認可を付与します。 | |
16.1 | 安全なアプリケーション開発プロセスを確立および維持する | 最小特権の原則の実装を支援するために、Amazon CodeBuild プロジェクト環境で特権モードが有効になっていないことを確認します。この設定は、Docker APIsおよびコンテナの基盤となるハードウェアへの意図しないアクセスを防ぐために無効にする必要があります。 | |
16.1 | 安全なアプリケーション開発プロセスを確立および維持する | 保管中の機密データを保護するために、 AWS CodeBuild アーティファクトに対して暗号化が有効になっていることを確認します。 | |
16.1 | 安全なアプリケーション開発プロセスを確立および維持する | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 |
テンプレート
テンプレートは、 GitHub「Operational Best Practices for CIS Critical Security Controls v8IG2