グラムリーチブライリー法 (GLBA) に関する運用上のベストプラクティス - AWS Config

グラムリーチブライリー法 (GLBA) に関する運用上のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

グラムリーチブライリー法 (GLBA) と AWS 管理の Config ルールのマッピングの例を次に示します。各 Config ルールが特定の AWS リソースに適用され、1 つまたは複数の GLBA によるコントロールに関連付けられます。GLBA によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:中東 (バーレーン) を除く、サポートされているすべての AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

internet-gateway-authorized-vpc-only

インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにすることで、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
GLBA-SEC.501(b) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

バックアップ/リカバリポイント暗号化

AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

codebuild-project-s3-logs-encrypted

機密性のある保管中のデータを保護するため、Amazon S3 に保存された AWS CodeBuild ログで暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

codebuild-project-artifact-encryption

機密性のある保管中のデータを保護するため、AWS CodeBuild アーティファクトで暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
GLBA-SEC.501(b)(1) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(1) 顧客の記録および情報のセキュリティと機密性を確保する。

kinesis-stream-encrypted

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。
GLBA-SEC.501(b)(2) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(2) それらの記録のセキュリティまたは完全性に対する予測される脅威または危険から保護する。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
GLBA-SEC.501(b)(2) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(2) それらの記録のセキュリティまたは完全性に対する予測される脅威または危険から保護する。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

secretsmanager-rotation-enabled-check

このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織の方針を反映させる必要があります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

opensearch-access-control-enabled

Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

efs-access-point-enforce-root-directory

Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。
GLBA-SEC.501(b)(3) サブセクション (a) のポリシーを推進するために、セクション 505(a) に記載されている各機関または当局は、次の各項の目的を達するため、管理上、技術上、および物理的な保護に関して、管轄権の対象となる金融機関に適切な基準を確立しなければならない。(3) 顧客に多大な危害または問題を生じさせる恐れがあるそれらの記録または情報に対する不正なアクセスまたは使用から保護する。

efs-access-point-enforce-user-identity

最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。

テンプレート

GitHub から Operational-Best-Practices-for-Gramm-Leach-Bliley-Act.yaml のテンプレートを入手できます。