翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
NBC の「TRMG」の運用のベストプラクティス
コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、カンボジア国立銀行 (NBC) の「Technology Risk Management (TRM) Guidelines」のフレームワークと、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の NBC の「TRM Guidelines」に関連付けられます。NBC の「TRM Guideline」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
このコンフォーマンスパックのサンプルテンプレートには、カンボジア国立銀行 (NBC) によって作成された Technology Risk Management (TRM) Guidelines のフレームワーク内のコントロールへのマッピングが含まれています。フレームワークにはこちらからアクセスできます。カンボジア国立銀行: Technology Risk Mangement Guidelines
コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
---|---|---|---|
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.1.1 (D) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.1.1 (d) | d) 考慮すべき重要なコントロールには以下があります-- ユーザー ID とアクセスコントロールマトリックスの作成を適用し、承認する体系的なプロセス - リスク評価基くアクセス権限の付与 - 職務の効果的な分離を確保するために設計されたロールベースのアクセスコントロールの実装 - システムのデフォルトのユーザー名および/またはパスワードの変更、および汎用アカウントのユーザー ID とパスワードの共有の禁止 - ロールまたは責任の変更がある場合、アクセス権の採用/契約の停止に関するアクセス権の削除 - ユーザーの追加、削除、ロールの変更に関する情報セキュリティ機能をタイムリーに通知するプロセス - システム内のユーザー ID と実際にアクセスを必要とするユーザーとの定期的な照合、および不要な ID がある場合はその削除 - すべてのユーザーによる IT アセットへのアクセスの監査、記録、モニタリング - 重要なアプリケーションの長期休暇中のユーザーのユーザー ID の非アクティブ化の検討 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.1.1(f) | f) 説明責任を果たすため、ユーザーと IT 資産が一意に特定され、その行動が監査可能であることを確認してください。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.1.1(f) | f) 説明責任を果たすため、ユーザーと IT 資産が一意に特定され、その行動が監査可能であることを確認してください。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.1.1(f) | f) 説明責任を果たすため、ユーザーと IT 資産が一意に特定され、その行動が監査可能であることを確認してください。 | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
3.1.1(f) | f) 説明責任を果たすため、ユーザーと IT 資産が一意に特定され、その行動が監査可能であることを確認してください。 | Amazon Redshift クラスターの接続とユーザーアクティビティに関する情報をキャプチャするには、監査ログ作成が有効になっていることを確認します。 | |
3.1.1(f) | f) 説明責任を果たすため、ユーザーと IT 資産が一意に特定され、その行動が監査可能であることを確認してください。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1(f) | f) 説明責任を果たすため、ユーザーと IT 資産が一意に特定され、その行動が監査可能であることを確認してください。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.1.1(f) | f) 説明責任を果たすため、ユーザーと IT 資産が一意に特定され、その行動が監査可能であることを確認してください。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | 組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.1 (H) | h) 重要な業務を行うシステム管理者、セキュリティ担当者、プログラマーおよびスタッフは、職務機能と特権アクセスによって維持または運用する金融システムに重大な損害を与える能力を常に有します。システムへのアクセス権が昇格している担当者は、システム制御やセキュリティ手順を回避するための内部知識とリソースを持っているため、すべてのシステムのアクティビティを記録して綿密に監視する必要があります。以下に列挙するコントロールおよびセキュリティ対策のいくつかを考慮する必要があります。- 特権ユーザーに対する二要素認証の実装 - 特権ユーザーによるリモートアクセスに対する強力なコントロールの導入 - 特権ユーザー数の制限 - 特権ユーザーの「必要性」または「実行の必要性」に基づく特権的アクセス権の付与 - 特権ユーザーが実行するシステムアクティビティの監査ログの維持 - 特権ユーザーによる、自身のアクティビティがキャプチャされているシステムログへのアクセスの禁止 - ログの定期的な監査またはマネジメントレビューの実施 - 特権 ID およびアクセスコード - ベンダーおよび請負業者による、緊密な監督や監視のないシステムへの特権的アクセス権取得の禁止 - 不正アクセスからのバックアップデータの保護 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
3.1.2 (a) | a) BFI は、ネットワーク境界を保護するために、ファイアウォール、ウイルス対策/マルウェア対策ソフトウェア、侵入検知および防止システムなどのネットワークセキュリティデバイスを IT インフラストラクチャの重要な分岐点にインストールする必要があります。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
3.1.2 (a) | a) BFI は、ネットワーク境界を保護するために、ファイアウォール、ウイルス対策/マルウェア対策ソフトウェア、侵入検知および防止システムなどのネットワークセキュリティデバイスを IT インフラストラクチャの重要な分岐点にインストールする必要があります。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
3.1.2 (a) | a) BFI は、ネットワーク境界を保護するために、ファイアウォール、ウイルス対策/マルウェア対策ソフトウェア、侵入検知および防止システムなどのネットワークセキュリティデバイスを IT インフラストラクチャの重要な分岐点にインストールする必要があります。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.2 (c) | c) ネットワーク内の情報のセキュリティを確保し、不正なアクセスから接続されたサービスを保護するためのコントロールを実装する必要があります。特に、以下の項目を考慮する必要があります。- ネットワーク機器の管理に関する責任と手順を確立する。- ネットワークの運用責任をコンピュータの運用から適切に分離する。- パブリックネットワークまたはワイヤレスネットワークを通過するデータの機密性と完全性を保護し、接続されたシステムやアプリケーションを保護するための特別なコントロールを確立する (信頼できないシステムやネットワークに接続する場合、ネットワーク暗号化プロトコルを含む) - 情報セキュリティに影響を与える、または関連するアクションの記録と検出を可能にするために、適切なログ記録とモニタリングを適用する必要がある。- 管理活動は、組織へのサービスを最適化するため、また、情報処理インフラストラクチャ全体に一貫したコントロールを適用するために、緊密に連携する必要がある。- ネットワーク上のシステムには認証を必要とし - 信頼できないシステムによるネットワークへの接続には制限を必要とする。 | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
3.1.2 (e) | e) ネットワークサービスは、シンプルで管理の不要な帯域幅から、VPN、Voice over IP、VSAT などの高度なサービスまで、多岐にわたります。ネットワークサービスのセキュリティ機能は、以下のようなものである必要があります。- 認証、暗号化、ネットワーク接続制御などのネットワークサービスのセキュリティに適用されるテクノロジー - セキュリティおよびネットワーク接続のルールに従った、ネットワークサービスとのセキュアな接続に必要なテクノロジーによるパラメータ - ネットワークサービスまたはアプリケーションへのアクセスを制限するためのネットワークサービスの使用手順 (必要な場合) | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
3.1.3 (e) | e) 暗号化を使用して、リモートアクセスデバイスと施設間の通信チャネルを保護し、ネットワークのなりすましに関連するリスクを制限します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.1.3 (g) | g) リモートアクセス通信のログを保持します。ログには、リモートアクセスを通じて実行されるすべてのアクティビティを含む、すべてのリモートアクセスの日付、時間、ユーザー、ユーザーの場所、期間、および目的が含まれている必要があります。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.1.3 (i) | i) リモートアクセスのための二要素認証プロセス (例: ワンタイムランダムパスワード生成を備えた PIN ベースのトークンカードまたはトークンベースの PKI) を徹底します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
3.1.3 (i) | i) リモートアクセスのための二要素認証プロセス (例: ワンタイムランダムパスワード生成を備えた PIN ベースのトークンカードまたはトークンベースの PKI) を徹底します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
3.1.3 (i) | i) リモートアクセスのための二要素認証プロセス (例: ワンタイムランダムパスワード生成を備えた PIN ベースのトークンカードまたはトークンベースの PKI) を徹底します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
3.1.3 (i) | i) リモートアクセスのための二要素認証プロセス (例: ワンタイムランダムパスワード生成を備えた PIN ベースのトークンカードまたはトークンベースの PKI) を徹底します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限のあるユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウントが侵害されるインシデントを減らすことができます。 | |
3.1.4 (c)(e) | c) パッチ管理プロセスには、以下の側面を含める必要があります。- パッチが許可されたソースからのものであることを確認するためのパッチの取得と検証の方法の決定 - 組織で使用されるアプリケーションやシステムに適用可能な脆弱性の特定方法 - パッチを実装する (または特定のパッチを実装しない) ことによるビジネスへの影響の評価 - パッチがテストされていることの確認 - パッチのデプロイ方法の説明 (例: 自動的) - 組織全体でのパッチデプロイの状況に関するレポート - パッチデプロイの失敗への対処方法 (例: パッチの再デプロイ) を含める e) BFI は、自動化されたパッチ管理ツールとソフトウェア更新ツールを、それらのツールを利用できるすべての安全なシステムにデプロイする必要があります。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
3.1.4 (c)(e) | c) パッチ管理プロセスには、以下の側面を含める必要があります。- パッチが許可されたソースからのものであることを確認するためのパッチの取得と検証の方法の決定 - 組織で使用されるアプリケーションやシステムに適用可能な脆弱性の特定方法 - パッチを実装する (または特定のパッチを実装しない) ことによるビジネスへの影響の評価 - パッチがテストされていることの確認 - パッチのデプロイ方法の説明 (例: 自動的) - 組織全体でのパッチデプロイの状況に関するレポート - パッチデプロイの失敗への対処方法 (例: パッチの再デプロイ) を含める e) BFI は、自動化されたパッチ管理ツールとソフトウェア更新ツールを、それらのツールを利用できるすべての安全なシステムにデプロイする必要があります。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
3.1.4 (c)(e) | c) パッチ管理プロセスには、以下の側面を含める必要があります。- パッチが許可されたソースからのものであることを確認するためのパッチの取得と検証の方法の決定 - 組織で使用されるアプリケーションやシステムに適用可能な脆弱性の特定方法 - パッチを実装する (または特定のパッチを実装しない) ことによるビジネスへの影響の評価 - パッチがテストされていることの確認 - パッチのデプロイ方法の説明 (例: 自動的) - 組織全体でのパッチデプロイの状況に関するレポート - パッチデプロイの失敗への対処方法 (例: パッチの再デプロイ) を含める e) BFI は、自動化されたパッチ管理ツールとソフトウェア更新ツールを、それらのツールを利用できるすべての安全なシステムにデプロイする必要があります。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
3.1.4 (c)(e) | c) パッチ管理プロセスには、以下の側面を含める必要があります。- パッチが許可されたソースからのものであることを確認するためのパッチの取得と検証の方法の決定 - 組織で使用されるアプリケーションやシステムに適用可能な脆弱性の特定方法 - パッチを実装する (または特定のパッチを実装しない) ことによるビジネスへの影響の評価 - パッチがテストされていることの確認 - パッチのデプロイ方法の説明 (例: 自動的) - 組織全体でのパッチデプロイの状況に関するレポート - パッチデプロイの失敗への対処方法 (例: パッチの再デプロイ) を含める e) BFI は、自動化されたパッチ管理ツールとソフトウェア更新ツールを、それらのツールを利用できるすべての安全なシステムにデプロイする必要があります。 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.4 (c)(e) | c) パッチ管理プロセスには、以下の側面を含める必要があります。- パッチが許可されたソースからのものであることを確認するためのパッチの取得と検証の方法の決定 - 組織で使用されるアプリケーションやシステムに適用可能な脆弱性の特定方法 - パッチを実装する (または特定のパッチを実装しない) ことによるビジネスへの影響の評価 - パッチがテストされていることの確認 - パッチのデプロイ方法の説明 (例: 自動的) - 組織全体でのパッチデプロイの状況に関するレポート - パッチデプロイの失敗への対処方法 (例: パッチの再デプロイ) を含める e) BFI は、自動化されたパッチ管理ツールとソフトウェア更新ツールを、それらのツールを利用できるすべての安全なシステムにデプロイする必要があります。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
3.1.4 (c)(e) | c) パッチ管理プロセスには、以下の側面を含める必要があります。- パッチが許可されたソースからのものであることを確認するためのパッチの取得と検証の方法の決定 - 組織で使用されるアプリケーションやシステムに適用可能な脆弱性の特定方法 - パッチを実装する (または特定のパッチを実装しない) ことによるビジネスへの影響の評価 - パッチがテストされていることの確認 - パッチのデプロイ方法の説明 (例: 自動的) - 組織全体でのパッチデプロイの状況に関するレポート - パッチデプロイの失敗への対処方法 (例: パッチの再デプロイ) を含める e) BFI は、自動化されたパッチ管理ツールとソフトウェア更新ツールを、それらのツールを利用できるすべての安全なシステムにデプロイする必要があります。 | Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。 | |
3.1.5 (d)(e) | d) 適切なキー管理には、暗号化キーの生成、保存、アーカイブ、取得、配布、廃棄、破棄のための安全なプロセスが必要です。e) すべての暗号化キーを、変更や紛失から保護する必要があります。また、シークレットキーやプライベートキーは、不正使用や漏洩から保護する必要があります。キーの生成、保存、保管に使用する機器には、物理的な保護が必要です。 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
3.1.5 (d)(e) | d) 適切なキー管理には、暗号化キーの生成、保存、アーカイブ、取得、配布、廃棄、破棄のための安全なプロセスが必要です。e) すべての暗号化キーを、変更や紛失から保護する必要があります。また、シークレットキーやプライベートキーは、不正使用や漏洩から保護する必要があります。キーの生成、保存、保管に使用する機器には、物理的な保護が必要です。 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
3.1.5 (d)(e) | d) 適切なキー管理には、暗号化キーの生成、保存、アーカイブ、取得、配布、廃棄、破棄のための安全なプロセスが必要です。e) すべての暗号化キーを、変更や紛失から保護する必要があります。また、シークレットキーやプライベートキーは、不正使用や漏洩から保護する必要があります。キーの生成、保存、保管に使用する機器には、物理的な保護が必要です。 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.5 (d)(e) | d) 適切なキー管理には、暗号化キーの生成、保存、アーカイブ、取得、配布、廃棄、破棄のための安全なプロセスが必要です。e) すべての暗号化キーを、変更や紛失から保護する必要があります。また、シークレットキーやプライベートキーは、不正使用や漏洩から保護する必要があります。キーの生成、保存、保管に使用する機器には、物理的な保護が必要です。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.5 (f) | f) キー管理システムは、以下の合意済みの一連の標準、手順、および安全な方法に基づいている必要があります。- さまざまな暗号システムおよびさまざまなアプリケーションのキーを生成する - パブリックキーの証明書を発行および取得する - 目的のエンティティへのキーと、キーを受け取った際の有効化の方法の配布 - キーの保存と、権限のあるユーザーによるキーへのアクセス方法 - キーの変更または更新およびキーの変更時期とその方法に関するルール - 侵害されたキーの処理 - キーが侵害された場合や、ユーザーが組織を離れた場合などのキーの回収方法を含む、キーの取り消しまたは非アクティブ化 (キーをアーカイブする必要もある場合) - 紛失または破損したキーの復旧 - キーのバックアップまたはアーカイブ - キーの破棄 - キー管理に関連するアクティビティのログ記録と監査 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
3.1.5 (f) | f) キー管理システムは、以下の合意済みの一連の標準、手順、および安全な方法に基づいている必要があります。- さまざまな暗号システムおよびさまざまなアプリケーションのキーを生成する - パブリックキーの証明書を発行および取得する - 目的のエンティティへのキーと、キーを受け取った際の有効化の方法の配布 - キーの保存と、権限のあるユーザーによるキーへのアクセス方法 - キーの変更または更新およびキーの変更時期とその方法に関するルール - 侵害されたキーの処理 - キーが侵害された場合や、ユーザーが組織を離れた場合などのキーの回収方法を含む、キーの取り消しまたは非アクティブ化 (キーをアーカイブする必要もある場合) - 紛失または破損したキーの復旧 - キーのバックアップまたはアーカイブ - キーの破棄 - キー管理に関連するアクティビティのログ記録と監査 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
3.1.5 (f) | f) キー管理システムは、以下の合意済みの一連の標準、手順、および安全な方法に基づいている必要があります。- さまざまな暗号システムおよびさまざまなアプリケーションのキーを生成する - パブリックキーの証明書を発行および取得する - 目的のエンティティへのキーと、キーを受け取った際の有効化の方法の配布 - キーの保存と、権限のあるユーザーによるキーへのアクセス方法 - キーの変更または更新およびキーの変更時期とその方法に関するルール - 侵害されたキーの処理 - キーが侵害された場合や、ユーザーが組織を離れた場合などのキーの回収方法を含む、キーの取り消しまたは非アクティブ化 (キーをアーカイブする必要もある場合) - 紛失または破損したキーの復旧 - キーのバックアップまたはアーカイブ - キーの破棄 - キー管理に関連するアクティビティのログ記録と監査 | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.5 (f) | f) キー管理システムは、以下の合意済みの一連の標準、手順、および安全な方法に基づいている必要があります。- さまざまな暗号システムおよびさまざまなアプリケーションのキーを生成する - パブリックキーの証明書を発行および取得する - 目的のエンティティへのキーと、キーを受け取った際の有効化の方法の配布 - キーの保存と、権限のあるユーザーによるキーへのアクセス方法 - キーの変更または更新およびキーの変更時期とその方法に関するルール - 侵害されたキーの処理 - キーが侵害された場合や、ユーザーが組織を離れた場合などのキーの回収方法を含む、キーの取り消しまたは非アクティブ化 (キーをアーカイブする必要もある場合) - 紛失または破損したキーの復旧 - キーのバックアップまたはアーカイブ - キーの破棄 - キー管理に関連するアクティビティのログ記録と監査 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.5 (f) | f) キー管理システムは、以下の合意済みの一連の標準、手順、および安全な方法に基づいている必要があります。- さまざまな暗号システムおよびさまざまなアプリケーションのキーを生成する - パブリックキーの証明書を発行および取得する - 目的のエンティティへのキーと、キーを受け取った際の有効化の方法の配布 - キーの保存と、権限のあるユーザーによるキーへのアクセス方法 - キーの変更または更新およびキーの変更時期とその方法に関するルール - 侵害されたキーの処理 - キーが侵害された場合や、ユーザーが組織を離れた場合などのキーの回収方法を含む、キーの取り消しまたは非アクティブ化 (キーをアーカイブする必要もある場合) - 紛失または破損したキーの復旧 - キーのバックアップまたはアーカイブ - キーの破棄 - キー管理に関連するアクティビティのログ記録と監査 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.1.5 (f) | f) キー管理システムは、以下の合意済みの一連の標準、手順、および安全な方法に基づいている必要があります。- さまざまな暗号システムおよびさまざまなアプリケーションのキーを生成する - パブリックキーの証明書を発行および取得する - 目的のエンティティへのキーと、キーを受け取った際の有効化の方法の配布 - キーの保存と、権限のあるユーザーによるキーへのアクセス方法 - キーの変更または更新およびキーの変更時期とその方法に関するルール - 侵害されたキーの処理 - キーが侵害された場合や、ユーザーが組織を離れた場合などのキーの回収方法を含む、キーの取り消しまたは非アクティブ化 (キーをアーカイブする必要もある場合) - 紛失または破損したキーの復旧 - キーのバックアップまたはアーカイブ - キーの破棄 - キー管理に関連するアクティビティのログ記録と監査 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.1.5 (f) | f) キー管理システムは、以下の合意済みの一連の標準、手順、および安全な方法に基づいている必要があります。- さまざまな暗号システムおよびさまざまなアプリケーションのキーを生成する - パブリックキーの証明書を発行および取得する - 目的のエンティティへのキーと、キーを受け取った際の有効化の方法の配布 - キーの保存と、権限のあるユーザーによるキーへのアクセス方法 - キーの変更または更新およびキーの変更時期とその方法に関するルール - 侵害されたキーの処理 - キーが侵害された場合や、ユーザーが組織を離れた場合などのキーの回収方法を含む、キーの取り消しまたは非アクティブ化 (キーをアーカイブする必要もある場合) - 紛失または破損したキーの復旧 - キーのバックアップまたはアーカイブ - キーの破棄 - キー管理に関連するアクティビティのログ記録と監査 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.1.6 (a) | a) BFI は、自動化されたツールと手動による手法を組み合わせてデプロイし、包括的な VA を定期的に実行する必要があります。ウェブベースの外部向けシステムの場合、VA の範囲には、SQL インジェクションやクロスサイトスクリプティングなどの一般的なウェブの脆弱性を含める必要があります。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
3.1.6 (a) | a) BFI は、自動化されたツールと手動による手法を組み合わせてデプロイし、包括的な VA を定期的に実行する必要があります。ウェブベースの外部向けシステムの場合、VA の範囲には、SQL インジェクションやクロスサイトスクリプティングなどの一般的なウェブの脆弱性を含める必要があります。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
3.1.6 (a) | a) BFI は、自動化されたツールと手動による手法を組み合わせてデプロイし、包括的な VA を定期的に実行する必要があります。ウェブベースの外部向けシステムの場合、VA の範囲には、SQL インジェクションやクロスサイトスクリプティングなどの一般的なウェブの脆弱性を含める必要があります。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
3.1.6(c) | c) BFI は、VA & PT で特定された問題を是正するプロセスを確立し、その後に是正措置の再検証を実施して、ギャップが完全に対処されていることを確認すべきである。 | vuln-mitigated-accepted (Process Check) | 新たに特定された脆弱性が修正されるか、受け入れられたリスクとしてドキュメント化されるようにします。組織のコンプライアンス要件に従って、脆弱性を修正するか、リスクとして承諾する必要があります。 |
3.1.6 (f) | f) セキュリティ機能は、軽減されない各部門の重大な脆弱性の数に関するステータスの更新と軽減のための計画を、定期的に上級管理職に提供します。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
3.1.8 | User training and awareness | security-awareness-program-exists(Process Check) | 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。 |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.1.10 (b) | b) システムドキュメント、アプリケーションのソースコード、本番トランザクションデータなどの機密情報には、改ざんを防止するためのより広範なコントロールが必要です (例: 整合性チェッカー、暗号学的ハッシュ)。さらに、ポリシーによって、情報が含まれる印刷物などの機密情報の配布を最小限に抑える必要があります。 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | データのバックアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
3.2.1 (h) | h) 変更にともなうリスクを最小限に抑えるため、BFI は、影響を受けるシステムやアプリケーションのバックアップを変更前に実行する必要があります。BFI は、デプロイ中またはデプロイ後に問題が発生した場合に、システムまたはアプリケーションを以前のバージョンに戻すためのロールバックの計画を確立する必要があります。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.2.1 (k) | k) 監査ログやセキュリティログは、調査やトラブルシューティングを容易にする有用な情報です。BFIは、移行プロセス中に実行されたアクティビティを記録するため、ログ機能が有効になっていることを確認する必要があります。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.2.3 (a) | a) 情報セキュリティインシデントを防止、検出、分析し、対応するためのプロセスを開発し、実装します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
3.2.3 (a) | a) 情報セキュリティインシデントを防止、検出、分析し、対応するためのプロセスを開発し、実装します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
3.3.1 (a) | a) システム設計の一環として、システムの高可用性、適切な容量、信頼性の高いパフォーマンス、高速な応答時間、スケーラビリティの維持に関連する重要な要素を考慮します。 | このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.4 (a)(b)(c)(f)(j) | a) 監査とレビューの目的で、ユーザのアクセス記録が一意に識別され、記録されていることを確認します。b) 不正アクセスの説明責任と識別についてドキュメント化されていることを確認します。c) 特権ユーザによって実行される、システムでのアクティビティの監査ログを有効にします。f) 情報セキュリティに影響を与える可能性のある、または関連するアクティビティの記録と検出を行うため、適切なログ記録とモニタリングが適用されることを確認します。j) イベントのログ記録によって、システムのセキュリティに関する統合レポートとアラートを生成できる自動モニタリングシステムの土台が設定されることを確認します。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.4(f) | f) 情報セキュリティに影響を及ぼす可能性がある、または情報セキュリティに関連する行動を記録および検出できるように、適切なログ記録とモニタリングを適用する必要があります。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
3.4 (g) | g) 関連する場合、イベントログに以下が含まれていることを確認します。- ユーザ ID - システムのアクティビティ - ログオンおよびログオフなどの主要なイベントの日時と詳細 - 可能な場合、デバイスの ID またはロケーションおよびシステム識別子 - システムにおけるアクセス試行の成功と拒否の記録 - データやその他のリソースへのアクセス試行の成功と拒否の記録 - システム設定の変更 - 特権の使用 - システムユーティリティとアプリケーションの使用 - アクセスされたファイルとアクセスの種類 - ネットワークアドレスとプロトコル - アクセスコントロールシステムにより発生したアラーム - アプリケーションおよびオンラインの顧客トランザクションでユーザが実行したトランザクションの記録 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
3.6.1 (a)(h) | a) BFI は、ウェブアプリケーションに適切なセキュリティ対策を講じ、さまざまなウェブ上のセキュリティリスクに対して合理的な緩和策を講じる必要があります。h) BFI は、ウェブアプリケーションに適切なセキュリティ対策を講じ、さまざまなウェブ上のセキュリティリスクに対して合理的な緩和策を講じる必要があります。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
3.6.1 (a)(h) | a) BFI は、ウェブアプリケーションに適切なセキュリティ対策を講じ、さまざまなウェブ上のセキュリティリスクに対して合理的な緩和策を講じる必要があります。h) BFI は、ウェブアプリケーションに適切なセキュリティ対策を講じ、さまざまなウェブ上のセキュリティリスクに対して合理的な緩和策を講じる必要があります。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
3.6.1 (b) | b) BFI は、インターネットバンキングシステムやその他の関連システムに関連するセキュリティ要件を評価し、要求される機密性と完全性の度合いを考慮した暗号化ソリューションを採用する必要があります。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
3.6.1 (d) | d) b) インターネットバンキングを提供する BFI は、DDoS 攻撃の兆候を示している可能性のある、ネットワークの異常なトラフィック状況やシステムパフォーマンス、システムリソースの使用量の急増に対応する必要があります。したがって、事前と事後の対策が成功するかどうかは、ネットワークやシステムの異常を効果的に検知、モニタリング、分析するための適切なツールのデプロイに左右されます。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
3.6.1 (d) | d) b) インターネットバンキングを提供する BFI は、DDoS 攻撃の兆候を示している可能性のある、ネットワークの異常なトラフィック状況やシステムパフォーマンス、システムリソースの使用量の急増に対応する必要があります。したがって、事前と事後の対策が成功するかどうかは、ネットワークやシステムの異常を効果的に検知、モニタリング、分析するための適切なツールのデプロイに左右されます。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
3.6.1 (d) | d) b) インターネットバンキングを提供する BFI は、DDoS 攻撃の兆候を示している可能性のある、ネットワークの異常なトラフィック状況やシステムパフォーマンス、システムリソースの使用量の急増に対応する必要があります。したがって、事前と事後の対策が成功するかどうかは、ネットワークやシステムの異常を効果的に検知、モニタリング、分析するための適切なツールのデプロイに左右されます。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
3.6.1 (d) | d) b) インターネットバンキングを提供する BFI は、DDoS 攻撃の兆候を示している可能性のある、ネットワークの異常なトラフィック状況やシステムパフォーマンス、システムリソースの使用量の急増に対応する必要があります。したがって、事前と事後の対策が成功するかどうかは、ネットワークやシステムの異常を効果的に検知、モニタリング、分析するための適切なツールのデプロイに左右されます。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
3.6.1 (d) | d) b) インターネットバンキングを提供する BFI は、DDoS 攻撃の兆候を示している可能性のある、ネットワークの異常なトラフィック状況やシステムパフォーマンス、システムリソースの使用量の急増に対応する必要があります。したがって、事前と事後の対策が成功するかどうかは、ネットワークやシステムの異常を効果的に検知、モニタリング、分析するための適切なツールのデプロイに左右されます。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
3.6.1 (e) | e) BFI は、情報セキュリティの脆弱性を定期的に評価し、IT セキュリティの既存のリスクマネジメントフレームワークの有効性を評価し、新たな脆弱性にタイムリーに対処するために必要な調整を行う必要があります。この評価は、重要な変更の一部としても実施する必要があります。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
3.6.4 (a)(b) | a) インターネットアクセスを制限し、重要なシステムを一般的な IT 環境から分離します。b) 攻撃の対象となる領域を削減し、脆弱性を軽減します。 | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 |
テンプレート
テンプレートは、GitHub の「Operational Best Practices for NBC TRMG