CISA サイバーエッセンシャル 運用のベストプラクティス - AWS Config

CISA サイバーエッセンシャル 運用のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下は、Cybersecurity & Infrastructure Security Agency (CISA) のCyber Essentials (CE) と AWS マネージド Config のルール間のマッピングの例です。各 AWS Config ルールが特定の AWS リソースに適用され、1 つまたは複数の「CISA CE」によるコントロールに関連付けられます。CISA CEコントロールは、複数の AWS Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:中東 (バーレーン) を除く、サポートされているすべての AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
お客様のスタッフ-1 従業員がオンラインで適切な選択をするように奨励するため、意識を高める文化を育成します。 security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
お客様のスタッフ-2 フィッシングやビジネスメールの侵害などのリスクについて学習します。XXXXX。 security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
お客様のスタッフ-3 現在の脅威環境に対して常に警戒し、サイバーセキュリティの傾向に迅速に対応するために、教訓や報告を受けたイベントを活用して、サイバーセキュリティに関連する現在のイベントに対する認識を維持します。 security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
お客様のスタッフ-4 基本的なサイバーセキュリティトレーニングを活用して、サイバーセキュリティの概念、用語、サイバーセキュリティのベストプラクティスの実装に関連する活動について理解を深めます。 security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
お客様のスタッフ-5 職能団体、学術機関、民間部門、政府機関を通じて利用可能なトレーニングリソースを特定します。  security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
Your Systems-1 お客様のネットワークに誰がいるのかを知る。ハードウェアとソフトウェア資産のインベントリーを維持し、何が有効で、何が攻撃のリスクにさらされているかを把握する。

eip-attached

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
Your Systems-1 お客様のネットワークに誰がいるのかを知る。ハードウェアとソフトウェア資産のインベントリーを維持し、何が有効で、何が攻撃のリスクにさらされているかを把握する。

vpc-network-acl-unused-check

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) のネットワークアクセスコントロールリストが使用されているかどうかを確認します。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。
Your Systems-1 お客様のネットワークに誰がいるのかを知る。ハードウェアとソフトウェア資産のインベントリーを維持し、何が有効で、何が攻撃のリスクにさらされているかを把握する。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
Your Systems-1 お客様のネットワークに誰がいるのかを知る。ハードウェアとソフトウェア資産のインベントリーを維持し、何が有効で、何が攻撃のリスクにさらされているかを把握する。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
Your Systems-1 お客様のネットワークに誰がいるのかを知る。ハードウェアとソフトウェア資産のインベントリーを維持し、何が有効で、何が攻撃のリスクにさらされているかを把握する。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
Your Systems-1 お客様のネットワークに誰がいるのかを知る。ハードウェアとソフトウェア資産のインベントリーを維持し、何が有効で、何が攻撃のリスクにさらされているかを把握する。

ec2-stopped-instance

このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
Your Systems-1 お客様のネットワークに誰がいるのかを知る。ハードウェアとソフトウェア資産のインベントリーを維持し、何が有効で、何が攻撃のリスクにさらされているかを把握する。

ec2-volume-inuse-check

このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。
お客様のシステム-2 すべての OS とサードパーティソフトウェアの自動アップデートを活用する。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
お客様のシステム-2 すべての OS とサードパーティソフトウェアの自動アップデートを活用する。

elastic-beanstalk-managed-updates-enabled

Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
お客様のシステム-2 すべての OS とサードパーティソフトウェアの自動アップデートを活用する。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-2 すべての OS とサードパーティソフトウェアの自動アップデートを活用する。

rds-automatic-minor-version-upgrade-enabled

Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

api-gw-associated-with-waf

AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

codebuild-project-envvar-awscred-check

AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY_ID が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

codebuild-project-source-repo-url-check

GitHub または Bitbucket のソースレポジトリの URL に、AWS Codebuild プロジェクト環境内の個人用のアクセストークン、ユーザー名、パスワードが含まれていないことを確認します。GitHub または Bitbucket リポジトリへのアクセス認可を付与するには、個人のアクセストークンまたはユーザー名とパスワードではなく、OAuth を使用します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

cloudtrail-security-trail-enabled

このルールでは、複数の設定が有効になっていることをチェックすることで、AWS CloudTrail で AWS が推奨するセキュリティのベストプラクティスが使用されるようになります。これには、ログ暗号化の使用、ログ検証、複数のリージョンでの AWS CloudTrail の有効化が含まれます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

opensearch-data-node-fault-tolerance

Amazon OpenSearch Service (OpenSearch Service) では、高可用性と耐障害性のために少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ OpenSearch Service ドメインをデプロイすると、ノードに障害が発生した場合のクラスターオペレーションが確実になります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elb-cross-zone-load-balancing-enabled

Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-enhanced-monitoring-enabled

Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-instance-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

secretsmanager-rotation-enabled-check

このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

secretsmanager-secret-periodic-rotation

このルールにより、AWS Secrets Manager シークレットで定期的なローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。デフォルト値は 90 日です。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

secretsmanager-secret-unused

AWS Secrets Manager に未使用の認証情報がsン剤する場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、unusedForDays (Config デフォルト:90) の値を設定できます。実際の値には、組織のポリシーを反映する必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

バックアップ計画によって保護された Aurora リソース

データバックのアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

バックアップ/リカバリポイント暗号化

AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

バックアップ/リカバリポイントの手動削除/無効化

AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

DynamoDB-バックアップ計画によって保護されるリソース

データバックのアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

ec2-resources-protected-by-backup-plan

データバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-3 すべてのハードウェアおよびソフトウェア資産にセキュリティ設定を実施する。

fsx-resources-protected-by-backup-plan

データバックのアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のシステム-4 サポートされていない、または許可されていないハードウェアやソフトウェアをシステムから削除します。 

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
お客様の周囲環境-1 お客様のネットワークに誰がいるのかを知る。ネットワーク接続 (ユーザーアカウント、ベンダー、ビジネスパートナーなど) のインベントリーを維持してください。

eip-attached

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
お客様の周囲環境-1 お客様のネットワークに誰がいるのかを知る。ネットワーク接続 (ユーザーアカウント、ベンダー、ビジネスパートナーなど) のインベントリーを維持してください。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
お客様の周囲環境-1 お客様のネットワークに誰がいるのかを知る。ネットワーク接続 (ユーザーアカウント、ベンダー、ビジネスパートナーなど) のインベントリーを維持してください。

vpc-network-acl-unused-check

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) のネットワークアクセスコントロールリストが使用されているかどうかを確認します。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。
Your Surroundings-2 特権ユーザー、管理者ユーザー、リモートアクセスユーザーをはじめ、すべてのユーザーに対して多要素認証を活用する。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
Your Surroundings-2 特権ユーザー、管理者ユーザー、リモートアクセスユーザーをはじめ、すべてのユーザーに対して多要素認証を活用する。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
Your Surroundings-2 特権ユーザー、管理者ユーザー、リモートアクセスユーザーをはじめ、すべてのユーザーに対して多要素認証を活用する。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
Your Surroundings-2 特権ユーザー、管理者ユーザー、リモートアクセスユーザーをはじめ、すべてのユーザーに対して多要素認証を活用する。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
お客様の周囲環境-3 必要最小限の権限に基づき、アクセス権限と管理者権限を付与します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
お客様の周囲環境-3 必要最小限の権限に基づき、アクセス権限と管理者権限を付与します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
お客様の周囲環境-3 必要最小限の権限に基づき、アクセス権限と管理者権限を付与します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
お客様の周囲環境-3 必要最小限の権限に基づき、アクセス権限と管理者権限を付与します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
お客様の周囲環境-3 必要最小限の権限に基づき、アクセス権限と管理者権限を付与します。

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。
お客様の周囲環境-3 必要最小限の権限に基づき、アクセス権限と管理者権限を付与します。

secretsmanager-secret-unused

AWS Secrets Manager に未使用の認証情報がsン剤する場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、unusedForDays (Config デフォルト:90) の値を設定できます。実際の値には、組織のポリシーを反映する必要があります。
お客様の周囲環境-3 必要最小限の権限に基づき、アクセス権限と管理者権限を付与します。

opensearch-access-control-enabled

Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。
お客様の周囲環境-4 すべてのユーザーアカウントに一意のパスワードを活用する。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-1 お客様のデータがどのように保護されているか、ご覧ください。

バックアップ/リカバリポイント暗号化

AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

acm-certificate-expiration-check

X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

codebuild-project-source-repo-url-check

GitHub または Bitbucket のソースレポジトリの URL に、AWS Codebuild プロジェクト環境内の個人用のアクセストークン、ユーザー名、パスワードが含まれていないことを確認します。GitHub または Bitbucket リポジトリへのアクセス認可を付与するには、個人のアクセストークンまたはユーザー名とパスワードではなく、OAuth を使用します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

バックアップ/リカバリポイント暗号化

AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
お客様のデータ-2 ネットワークと境界のコンポーネント、ホストとデバイスのコンポーネント、静止データと転送中のデータ、ユーザーの行動アクティビティを管理します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
お客様のデータ-3 ドメインネームシステムの保護。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

rds-instance-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

rds-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

バックアップ計画によって保護された Aurora リソース

データバックのアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

バックアップ計画-分-頻度と分保持チェック

データバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルトConfig: 1)、requiredretentionDays (デフォルトConfig: 35)、および requiredFrequencyUnit (デフォルトConfig: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

バックアップ/リカバリポイントの最小保存期間チェック

データバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

ec2-resources-protected-by-backup-plan

データバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のデータ-4 主要システムの定期的な自動バックアップと冗長化を確立します。

fsx-resources-protected-by-backup-plan

データバックのアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
お客様のデータ-5 物理的なセキュリティ、暗号化、オフラインコピーなど、バックアップのための保護機能を活用します。

バックアップ/リカバリポイント暗号化

AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
お客様のデータ-5 物理的なセキュリティ、暗号化、オフラインコピーなど、バックアップのための保護機能を活用します。

バックアップ/リカバリポイントの手動削除/無効化

AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
お客様の危機管理-2 攻撃を検知し、伝達し、封じ込めるための内部報告体制の整備をリードします。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
お客様の危機管理-2 攻撃を検知し、伝達し、封じ込めるための内部報告体制の整備をリードします。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

rds-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

バックアップ計画によって保護された Aurora リソース

データバックのアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

バックアップ計画-分-頻度と分保持チェック

データバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルトConfig: 1)、requiredretentionDays (デフォルトConfig: 35)、および requiredFrequencyUnit (デフォルトConfig: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

バックアップ/リカバリポイントの最小保存期間チェック

データバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

DynamoDB-バックアップ計画によって保護されるリソース

データバックのアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

ec2-resources-protected-by-backup-plan

データバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-1 重要なデータやシステム構成を自動的かつ継続的にバックアップするソリューションを採用します。

fsx-resources-protected-by-backup-plan

データバックのアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
ブートアップ: 最初にやるべきこと-2 可能な限り、システムへのアクセスに多要素認証 (MFA) を要求します。 MFA はすべてのユーザーに必要ですが、まずは特権ユーザー、管理者ユーザー、リモートアクセスユーザーから始めましょう。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
ブートアップ: 最初にやるべきこと-2 可能な限り、システムへのアクセスに多要素認証 (MFA) を要求します。 MFA はすべてのユーザーに必要ですが、まずは特権ユーザー、管理者ユーザー、リモートアクセスユーザーから始めましょう。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
ブートアップ: 最初にやるべきこと-2 可能な限り、システムへのアクセスに多要素認証 (MFA) を要求します。 MFA はすべてのユーザーに必要ですが、まずは特権ユーザー、管理者ユーザー、リモートアクセスユーザーから始めましょう。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
ブートアップ: 最初にやるべきこと-2 可能な限り、システムへのアクセスに多要素認証 (MFA) を要求します。 MFA はすべてのユーザーに必要ですが、まずは特権ユーザー、管理者ユーザー、リモートアクセスユーザーから始めましょう。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
ブートアップ: 最初にやるべきこと-3 可能な限り、自動アップデートを有効にする。サポートされていない OS、アプリケーション、ハードウェアを交換する。パッチのテストとデプロイを迅速に行います。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
ブートアップ: 最初にやるべきこと-3 可能な限り、自動アップデートを有効にする。サポートされていない OS、アプリケーション、ハードウェアを交換する。パッチのテストとデプロイを迅速に行います。

rds-automatic-minor-version-upgrade-enabled

Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。
ブートアップ: 最初にやるべきこと-3 可能な限り、自動アップデートを有効にする。サポートされていない OS、アプリケーション、ハードウェアを交換する。パッチのテストとデプロイを迅速に行います。

elastic-beanstalk-managed-updates-enabled

Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
ブートアップ: 最初にやるべきこと-3 可能な限り、自動アップデートを有効にする。サポートされていない OS、アプリケーション、ハードウェアを交換する。パッチのテストとデプロイを迅速に行います。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for CISA Cyber Essentials」で入手できます。