CMMC Level 1 に関する運用上のベストプラクティス - AWS Config

CMMC Level 1 に関する運用上のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、「Cybersecurity Maturity Model Certification (CMMC) Level 1」と、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の「CMMC Level 1」によるコントロールに関連付けられます。「CMMC Level 1」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:中東 (バーレーン) を除く、サポートされているすべての AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

ec2-imdsv2-check

Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

ec2-instances-in-vpc

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイすることで、インターネットゲートウェイ、NAT デバイス、または VPN 接続を使用せずに、インスタンスと Amazon VPC 内の他のサービス間の安全な通信が実現できます。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

internet-gateway-authorized-vpc-only

インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにすることで、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

secretsmanager-rotation-enabled-check

このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

secretsmanager-scheduled-rotation-success-check

このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
AC.1.001 情報システムへのアクセスを、権限のあるユーザーと、権限のあるユーザーに代わって動作するプロセスまたはデバイス (他の情報システムを含む) に制限します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

ec2-imdsv2-check

Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

internet-gateway-authorized-vpc-only

インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにすることで、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
AC.1.002 情報システムへのアクセスを、権限のあるユーザーが実行を許可されたトランザクションと機能のタイプに制限します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

internet-gateway-authorized-vpc-only

インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにすることで、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
AC.1.003 外部の情報システムへの接続と使用を検証して制御/制限します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
IA.1.076 情報システムのユーザーと、ユーザーに代わって動作するプロセスまたはデバイスを特定します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
IA.1.077 組織の情報システムへのアクセスを許可するための前提条件として、これらのユーザー、プロセス、またはデバイスの ID を認証 (または検証) します。

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
IA.1.077 組織の情報システムへのアクセスを許可するための前提条件として、これらのユーザー、プロセス、またはデバイスの ID を認証 (または検証) します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
IA.1.077 組織の情報システムへのアクセスを許可するための前提条件として、これらのユーザー、プロセス、またはデバイスの ID を認証 (または検証) します。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
IA.1.077 組織の情報システムへのアクセスを許可するための前提条件として、これらのユーザー、プロセス、またはデバイスの ID を認証 (または検証) します。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
IA.1.077 組織の情報システムへのアクセスを許可するための前提条件として、これらのユーザー、プロセス、またはデバイスの ID を認証 (または検証) します。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA.1.077 組織の情報システムへのアクセスを許可するための前提条件として、これらのユーザー、プロセス、またはデバイスの ID を認証 (または検証) します。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

api-gw-associated-with-waf

AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

ec2-instances-in-vpc

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイすることで、インターネットゲートウェイ、NAT デバイス、または VPN 接続を使用せずに、インスタンスと Amazon VPC 内の他のサービス間の安全な通信が実現できます。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

internet-gateway-authorized-vpc-only

インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにすることで、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC.1.175 情報システムの外部境界および主要な内部境界で、組織レベルの通信 (組織の情報システムによって送受信される情報など) をモニタリング、コントロールして保護します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SI.1.210 情報および情報システムの欠陥をタイムリーに特定、報告して修正します。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
SI.1.210 情報および情報システムの欠陥をタイムリーに特定、報告して修正します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SI.1.210 情報および情報システムの欠陥をタイムリーに特定、報告して修正します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SI.1.211 組織の情報システム内の適切な場所で、悪意のあるコードから保護します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for CMMC Level 1」で入手できます。