NIST の「800-53 rev 5」の運用のベストプラクティス - AWS Config

NIST の「800-53 rev 5」の運用のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、NIST の「800-53」と、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の NIST の「800-53」によるコントロールに関連付けられます。NIST の「800-53」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:中東 (バーレーン) を除く、サポートされているすべての AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

secretsmanager-rotation-enabled-check

このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
AC-2 (1) [Assignment: organization-defined automated mechanisms] を使用して、システムアカウントの管理をサポートします。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
AC-2 (3) 以下に該当する場合、[Assignment: organization-defined time period] の間にアカウントを無効にします。(a) アカウントが期限切れになっている場合、(b) ユーザーまたは個人に関連付けられなくなった場合、(c) 組織のポリシーに違反した場合、(d) [Assignment: organization-defined time period] でアクティブではなくなった場合。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (3) 以下に該当する場合、[Assignment: organization-defined time period] の間にアカウントを無効にします。(a) アカウントが期限切れになっている場合、(b) ユーザーまたは個人に関連付けられなくなった場合、(c) 組織のポリシーに違反した場合、(d) [Assignment: organization-defined time period] でアクティブではなくなった場合。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (3) 以下に該当する場合、[Assignment: organization-defined time period] の間にアカウントを無効にします。(a) アカウントが期限切れになっている場合、(b) ユーザーまたは個人に関連付けられなくなった場合、(c) 組織のポリシーに違反した場合、(d) [Assignment: organization-defined time period] でアクティブではなくなった場合。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AC-2 (4) アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AC-2(12) (a) システムアカウントをモニタリングして [組織が定義した異常な使用をここに代入] を検出します。(b) システムアカウントの異常な使用を [組織が定義した担当者またはロールをここに代入] に報告します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
AC-2 a. システム内での使用が許可されているアカウントと、特に禁止されているアカウントのタイプを定義し、文書化します。b. アカウントマネージャーを割り当てます。c. グループとロールのメンバーになるには [組織が定義した前提条件と基準をここに代入] を必須とします。d. Specify: 1. システムで認可されているユーザー、2. グループとロールのメンバーシップ、および 3. 各アカウントのアクセス許可 (つまり、権限) と [(必要に応じて) 組織が定義した属性をここに代入]。e. アカウントを作成するリクエストに対して、[組織が定義した担当者またはロールをここに代入] の承認を必須とします。f. [組織が定義したポリシー、手順、前提条件、および基準をここに代入] にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。g. アカウントの使用状況をモニタリングします。h. アカウントマネージャーと [組織が定義した担当者またはロールをここに代入] に次の期限内に通知します。1. アカウントが不必要になったときは [組織が定義した期間をここに代入]、2. ユーザーが退職または異動したときは [組織が定義した期間をここに代入]、および 3. システムの使用方法または知る必要性の有無が個人に対して変更されたときは [組織が定義した期間をここに代入]。i. 次の各項に基づき、システムへのアクセスを許可します。1. 有効なアクセス許可、2. システムの使用目的、および 3. [(必要に応じて) 組織が定義した属性をここに代入]。j. アカウント管理要件への準拠について、[組織が定義した頻度をここに代入] の頻度でアカウントを確認します。k. 個人がグループのメンバーでなくなったときに、共有アカウントまたはグループアカウントのオーセンティケータ (デプロイされている場合) を変更するプロセスを確立して実装します。l. アカウント管理プロセスを担当者の退職と異動のプロセスと整合させます。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-2 a. システム内での使用が許可されているアカウントと、特に禁止されているアカウントのタイプを定義し、文書化します。b. アカウントマネージャーを割り当てます。c. グループとロールのメンバーになるには [組織が定義した前提条件と基準をここに代入] を必須とします。d. Specify: 1. システムで認可されているユーザー、2. グループとロールのメンバーシップ、および 3. 各アカウントのアクセス許可 (つまり、権限) と [(必要に応じて) 組織が定義した属性をここに代入]。e. アカウントを作成するリクエストに対して、[組織が定義した担当者またはロールをここに代入] の承認を必須とします。f. [組織が定義したポリシー、手順、前提条件、および基準をここに代入] にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。g. アカウントの使用状況をモニタリングします。h. アカウントマネージャーと [組織が定義した担当者またはロールをここに代入] に次の期限内に通知します。1. アカウントが不必要になったときは [組織が定義した期間をここに代入]、2. ユーザーが退職または異動したときは [組織が定義した期間をここに代入]、および 3. システムの使用方法または知る必要性の有無が個人に対して変更されたときは [組織が定義した期間をここに代入]。i. 次の各項に基づき、システムへのアクセスを許可します。1. 有効なアクセス許可、2. システムの使用目的、および 3. [(必要に応じて) 組織が定義した属性をここに代入]。j. アカウント管理要件への準拠について、[組織が定義した頻度をここに代入] の頻度でアカウントを確認します。k. 個人がグループのメンバーでなくなったときに、共有アカウントまたはグループアカウントのオーセンティケータ (デプロイされている場合) を変更するプロセスを確立して実装します。l. アカウント管理プロセスを担当者の退職と異動のプロセスと整合させます。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-2 a. システム内での使用が許可されているアカウントと、特に禁止されているアカウントのタイプを定義し、文書化します。b. アカウントマネージャーを割り当てます。c. グループとロールのメンバーになるには [組織が定義した前提条件と基準をここに代入] を必須とします。d. Specify: 1. システムで認可されているユーザー、2. グループとロールのメンバーシップ、および 3. 各アカウントのアクセス許可 (つまり、権限) と [(必要に応じて) 組織が定義した属性をここに代入]。e. アカウントを作成するリクエストに対して、[組織が定義した担当者またはロールをここに代入] の承認を必須とします。f. [組織が定義したポリシー、手順、前提条件、および基準をここに代入] にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。g. アカウントの使用状況をモニタリングします。h. アカウントマネージャーと [組織が定義した担当者またはロールをここに代入] に次の期限内に通知します。1. アカウントが不必要になったときは [組織が定義した期間をここに代入]、2. ユーザーが退職または異動したときは [組織が定義した期間をここに代入]、および 3. システムの使用方法または知る必要性の有無が個人に対して変更されたときは [組織が定義した期間をここに代入]。i. 次の各項に基づき、システムへのアクセスを許可します。1. 有効なアクセス許可、2. システムの使用目的、および 3. [(必要に応じて) 組織が定義した属性をここに代入]。j. アカウント管理要件への準拠について、[組織が定義した頻度をここに代入] の頻度でアカウントを確認します。k. 個人がグループのメンバーでなくなったときに、共有アカウントまたはグループアカウントのオーセンティケータ (デプロイされている場合) を変更するプロセスを確立して実装します。l. アカウント管理プロセスを担当者の退職と異動のプロセスと整合させます。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC-2 a. システム内での使用が許可されているアカウントと、特に禁止されているアカウントのタイプを定義し、文書化します。b. アカウントマネージャーを割り当てます。c. グループとロールのメンバーになるには [組織が定義した前提条件と基準をここに代入] を必須とします。d. Specify: 1. システムで認可されているユーザー、2. グループとロールのメンバーシップ、および 3. 各アカウントのアクセス許可 (つまり、権限) と [(必要に応じて) 組織が定義した属性をここに代入]。e. アカウントを作成するリクエストに対して、[組織が定義した担当者またはロールをここに代入] の承認を必須とします。f. [組織が定義したポリシー、手順、前提条件、および基準をここに代入] にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。g. アカウントの使用状況をモニタリングします。h. アカウントマネージャーと [組織が定義した担当者またはロールをここに代入] に次の期限内に通知します。1. アカウントが不必要になったときは [組織が定義した期間をここに代入]、2. ユーザーが退職または異動したときは [組織が定義した期間をここに代入]、および 3. システムの使用方法または知る必要性の有無が個人に対して変更されたときは [組織が定義した期間をここに代入]。i. 次の各項に基づき、システムへのアクセスを許可します。1. 有効なアクセス許可、2. システムの使用目的、および 3. [(必要に応じて) 組織が定義した属性をここに代入]。j. アカウント管理要件への準拠について、[組織が定義した頻度をここに代入] の頻度でアカウントを確認します。k. 個人がグループのメンバーでなくなったときに、共有アカウントまたはグループアカウントのオーセンティケータ (デプロイされている場合) を変更するプロセスを確立して実装します。l. アカウント管理プロセスを担当者の退職と異動のプロセスと整合させます。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-2 a. システム内での使用が許可されているアカウントと、特に禁止されているアカウントのタイプを定義し、文書化します。b. アカウントマネージャーを割り当てます。c. グループとロールのメンバーになるには [組織が定義した前提条件と基準をここに代入] を必須とします。d. Specify: 1. システムで認可されているユーザー、2. グループとロールのメンバーシップ、および 3. 各アカウントのアクセス許可 (つまり、権限) と [(必要に応じて) 組織が定義した属性をここに代入]。e. アカウントを作成するリクエストに対して、[組織が定義した担当者またはロールをここに代入] の承認を必須とします。f. [組織が定義したポリシー、手順、前提条件、および基準をここに代入] にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。g. アカウントの使用状況をモニタリングします。h. アカウントマネージャーと [組織が定義した担当者またはロールをここに代入] に次の期限内に通知します。1. アカウントが不必要になったときは [組織が定義した期間をここに代入]、2. ユーザーが退職または異動したときは [組織が定義した期間をここに代入]、および 3. システムの使用方法または知る必要性の有無が個人に対して変更されたときは [組織が定義した期間をここに代入]。i. 次の各項に基づき、システムへのアクセスを許可します。1. 有効なアクセス許可、2. システムの使用目的、および 3. [(必要に応じて) 組織が定義した属性をここに代入]。j. アカウント管理要件への準拠について、[組織が定義した頻度をここに代入] の頻度でアカウントを確認します。k. 個人がグループのメンバーでなくなったときに、共有アカウントまたはグループアカウントのオーセンティケータ (デプロイされている場合) を変更するプロセスを確立して実装します。l. アカウント管理プロセスを担当者の退職と異動のプロセスと整合させます。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-2 a. システム内での使用が許可されているアカウントと、特に禁止されているアカウントのタイプを定義し、文書化します。b. アカウントマネージャーを割り当てます。c. グループとロールのメンバーになるには [組織が定義した前提条件と基準をここに代入] を必須とします。d. Specify: 1. システムで認可されているユーザー、2. グループとロールのメンバーシップ、および 3. 各アカウントのアクセス許可 (つまり、権限) と [(必要に応じて) 組織が定義した属性をここに代入]。e. アカウントを作成するリクエストに対して、[組織が定義した担当者またはロールをここに代入] の承認を必須とします。f. [組織が定義したポリシー、手順、前提条件、および基準をここに代入] にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。g. アカウントの使用状況をモニタリングします。h. アカウントマネージャーと [組織が定義した担当者またはロールをここに代入] に次の期限内に通知します。1. アカウントが不必要になったときは [組織が定義した期間をここに代入]、2. ユーザーが退職または異動したときは [組織が定義した期間をここに代入]、および 3. システムの使用方法または知る必要性の有無が個人に対して変更されたときは [組織が定義した期間をここに代入]。i. 次の各項に基づき、システムへのアクセスを許可します。1. 有効なアクセス許可、2. システムの使用目的、および 3. [(必要に応じて) 組織が定義した属性をここに代入]。j. アカウント管理要件への準拠について、[組織が定義した頻度をここに代入] の頻度でアカウントを確認します。k. 個人がグループのメンバーでなくなったときに、共有アカウントまたはグループアカウントのオーセンティケータ (デプロイされている場合) を変更するプロセスを確立して実装します。l. アカウント管理プロセスを担当者の退職と異動のプロセスと整合させます。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC-2 a. システム内での使用が許可されているアカウントと、特に禁止されているアカウントのタイプを定義し、文書化します。b. アカウントマネージャーを割り当てます。c. グループとロールのメンバーになるには [組織が定義した前提条件と基準をここに代入] を必須とします。d. Specify: 1. システムで認可されているユーザー、2. グループとロールのメンバーシップ、および 3. 各アカウントのアクセス許可 (つまり、権限) と [(必要に応じて) 組織が定義した属性をここに代入]。e. アカウントを作成するリクエストに対して、[組織が定義した担当者またはロールをここに代入] の承認を必須とします。f. [組織が定義したポリシー、手順、前提条件、および基準をここに代入] にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。g. アカウントの使用状況をモニタリングします。h. アカウントマネージャーと [組織が定義した担当者またはロールをここに代入] に次の期限内に通知します。1. アカウントが不必要になったときは [組織が定義した期間をここに代入]、2. ユーザーが退職または異動したときは [組織が定義した期間をここに代入]、および 3. システムの使用方法または知る必要性の有無が個人に対して変更されたときは [組織が定義した期間をここに代入]。i. 次の各項に基づき、システムへのアクセスを許可します。1. 有効なアクセス許可、2. システムの使用目的、および 3. [(必要に応じて) 組織が定義した属性をここに代入]。j. アカウント管理要件への準拠について、[組織が定義した頻度をここに代入] の頻度でアカウントを確認します。k. 個人がグループのメンバーでなくなったときに、共有アカウントまたはグループアカウントのオーセンティケータ (デプロイされている場合) を変更するプロセスを確立して実装します。l. アカウント管理プロセスを担当者の退職と異動のプロセスと整合させます。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

ec2-imdsv2-check

Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、 [Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、 [Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、「割り当て: 組織が定義した役割とその役割を担うことを許可されたユーザー」に基づいてアクセスを制御します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC-3(7) 定義されたサブジェクトとオブジェクトに対して役割ベースのアクセス制御ポリシーを適用し、[Assignment: organization-defined roles and users authorized to assume such roles] に基づいてアクセスを制御します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

ec2-imdsv2-check

Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織の方針を反映させる必要があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

secretsmanager-rotation-enabled-check

このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
AC-3(15) (a) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した必須のアクセス制御ポリシーをここに代入] を適用します。(b) ポリシーで指定された対象のサブジェクトおよびオブジェクトの集合に対して、[組織が定義した自由裁量のアクセス制御ポリシーをここに代入] を適用します。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

ec2-imdsv2-check

Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC-3 適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスの認可を承認します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

api-gw-associated-with-waf

AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC-4(21) 情報の流れを論理的または物理的に分離し、[Assignment: organization-defined required separations by types of information] を達成するために、「[Assignment: organization-defined required separations by types of information] を使用します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
AC-4(26) 異なるセキュリティドメイン間で情報を転送する場合、フィルタリングされる情報に対するコンテンツフィルタリングのアクションと結果を記録し、監査する。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC-4 [Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された認可を実施します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
AC-5 a. [組織が定義した分離が必要な個人の職務をここに代入] を特定および文書化します。b. 職務の分離をサポートするためのシステムのアクセス許可を定義します。

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
AC-5 a. [組織が定義した分離が必要な個人の職務をここに代入] を特定および文書化します。b. 職務の分離をサポートするためのシステムのアクセス許可を定義します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-5 a. [組織が定義した分離が必要な個人の職務をここに代入] を特定および文書化します。b. 職務の分離をサポートするためのシステムのアクセス許可を定義します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-5 a. [組織が定義した分離が必要な個人の職務をここに代入] を特定および文書化します。b. 職務の分離をサポートするためのシステムのアクセス許可を定義します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-5 a. [組織が定義した分離が必要な個人の職務をここに代入] を特定および文書化します。b. 職務の分離をサポートするためのシステムのアクセス許可を定義します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-5 a. [組織が定義した分離が必要な個人の職務をここに代入] を特定および文書化します。b. 職務の分離をサポートするためのシステムのアクセス許可を定義します。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
AC-6(2) [Assignment: organization-defined security functions or security-relevant information] にアクセスするシステムアカウント (または役割) のユーザーが、非セキュリティ機能にアクセスする場合は、非特権アカウントまたは役割を使用することを義務付けます。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6(2) 割り当て: 組織で定義されたセキュリティ機能またはセキュリティ関連情報]にアクセスするシステムアカウント (または役割) のユーザが、非セキュリティ機能にアクセスする場合は、非特権アカウントまたは役割を使用することを義務付ける。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6(2) [Assignment: organization-defined security functions or security-relevant information] にアクセスするシステムアカウント (または役割) のユーザーが、非セキュリティ機能にアクセスする場合は、非特権アカウントまたは役割を使用することを義務付けます。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC-6(3) [Assignment: organization-defined privileged commands] へのネットワークアクセスは、[Assignment: organization-defined compelling operational needs] のためだけに許可し、その根拠をシステムのセキュリティ計画に文書化すること。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-6(3) [Assignment: organization-defined privileged commands] へのネットワークアクセスは、[Assignment: organization-defined compelling operational needs] のためだけに許可し、その根拠をシステムのセキュリティ計画に文書化すること。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-6(3) [Assignment: organization-defined privileged commands] へのネットワークアクセスは、[Assignment: organization-defined compelling operational needs] のためだけに許可し、その根拠をシステムのセキュリティ計画に文書化すること。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC-6(3) [Assignment: organization-defined privileged commands] へのネットワークアクセスは、[Assignment: organization-defined compelling operational needs] のためだけに許可し、その根拠をシステムのセキュリティ計画に文書化すること。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6(3) [Assignment: organization-defined privileged commands] へのネットワークアクセスは、[Assignment: organization-defined compelling operational needs] のためだけに許可し、その根拠をシステムのセキュリティ計画に文書化すること。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6(3) [Assignment: organization-defined privileged commands] へのネットワークアクセスは、[Assignment: organization-defined compelling operational needs] のためだけに許可し、その根拠をシステムのセキュリティ計画に文書化すること。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6(9) 特権関数の実行を記録する。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AC-6(9) 特権関数の実行を記録する。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AC-6(9) 特権関数の実行を記録する。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AC-6(9) 特権関数の実行を記録する。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AC-6(9) 特権関数の実行を記録する。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AC-6(9) 特権関数の実行を記録する。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AC-6(9) 特権関数の実行を記録する。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-6(9) 特権関数の実行を記録する。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AC-6(9) 特権関数の実行を記録する。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AC-6 (10) 非特権ユーザーによる特権機能の実行を防止します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6 (10) 非特権ユーザーによる特権機能の実行を防止します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6 (10) 非特権ユーザーによる特権機能の実行を防止します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ec2-imdsv2-check

Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC-6 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
AC-17 (2) リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-17 (2) リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
AC-17 (2) リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
AC-17 (2) リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-17 (2) リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
AC-17 (2) リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
AC-17 (2) リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
AC-21 a. 共有パートナーに割り当てられたアクセス許可が、[組織が定義したユーザーの裁量が必要とされる情報共有状況をここに代入] に対する情報のアクセスおよび使用の制限と一致するかどうかを許可されたユーザーが判断できるようにします。b. ユーザーによる情報共有と共同作業の意思決定を支援するため、[組織が定義した自動メカニズムまたは手動プロセスをここに代入] を採用します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
AU-2 a. 監査機能をサポートするためにシステムがログに記録できるイベントのタイプを次のように特定します。[組織が定義したシステムがログに記録できるイベントタイプをここに代入]。b. 監査関連情報を必要とする他の組織体とイベントのログ記録機能を調整し、ログに記録するイベントの選択基準を導き、情報を提供します。c. システム内でログを記録するために、次のイベントタイプを指定します。[組織が定義したイベントタイプ (AU-2a で定義されたイベントタイプのサブセット) および特定された各イベントのログを記録する頻度 (またはログ記録が必要となる状況) をここに代入]。d. ログを記録するように選択されたイベントタイプが、事後のインシデントの調査をサポートするのに十分であると見なされる理由を説明します。e. ログを記録するように選択したイベントタイプを、[組織が定義した頻度をここに代入] の頻度で、レビューし、更新します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
AU-3 a の監査記録は、以下を立証する情報を含んでいることを確認する。発生したイベントのタイプ、b. イベントが発生した時刻、c. イベントが発生した場所、d. イベントの発生元、e. イベントの結果、および f. イベントに関連する個人、被験者、またはオブジェクト/エンティティを識別する。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AU-5(5) [組織が定義する代替監査ログ記録機能をここに代入] を実装して、プライマリ監査ログ記録機能に障害が発生した場合に代替する監査ログ記録機能を用意します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
AU-5(5) [組織が定義する代替監査ログ記録機能をここに代入] を実装して、プライマリ監査ログ記録機能に障害が発生した場合に代替する監査ログ記録機能を用意します。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
AU-6(1) [Assignment: organization-defined automated mechanisms] を使用して、監査記録のレビュー、分析、および報告プロセスを統合します。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
AU-6(1) [Assignment: organization-defined automated mechanisms] を使用して、監査記録のレビュー、分析、および報告プロセスを統合します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-6(1) [Assignment: organization-defined automated mechanisms] を使用して、監査記録のレビュー、分析、および報告プロセスを統合します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
AU-6(1) [Assignment: organization-defined automated mechanisms] を使用して、監査記録のレビュー、分析、および報告プロセスを統合します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
AU-6(3) さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
AU-6(4) システム内の複数のコンポーネントから監査記録を一元的にレビューと分析を行う機能を提供し、実装します。。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AU-6(5) 監査記録の分析では、[選択 ( 1 つまたは複数): vulnerability scanning information; performance data; system monitoring information; [Assignment: organization-defined data/information collected from other sources]] の分析と統合を行い、不適切または異常な活動を特定する能力をさらに強化します。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
AU-6(5) 監査記録の分析では、[選択 ( 1 つまたは複数): vulnerability scanning information; performance data; system monitoring information; [Assignment: organization-defined data/information collected from other sources]] の分析と統合を行い、不適切または異常な活動を特定する能力をさらに強化します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-6(5) 監査記録の分析では、[選択 ( 1 つまたは複数): vulnerability scanning information; performance data; system monitoring information; [Assignment: organization-defined data/information collected from other sources]] の分析と統合を行い、不適切または異常な活動を特定する能力をさらに強化します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
AU-6(5) 監査記録の分析では、[選択 ( 1 つまたは複数): vulnerability scanning information; performance data; system monitoring information; [Assignment: organization-defined data/information collected from other sources]] の分析と統合を行い、不適切または異常な活動を特定する能力をさらに強化します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
AU-7 (1) 情報システムは、[Assignment: organization-defined audit fields within audit records (割り当て: 組織で定義された監査レコード内の監査フィールド)] に基づいて、対象のイベントの監査レコードを処理する機能を提供します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-9 (2) 監査対象のシステムまたはコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントの一部となるリポジトリに、[Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] で保存します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
AU-9 (2) 監査対象のシステムまたはコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントの一部となるリポジトリに、[Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] で保存します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
AU-9 (2) 監査対象のシステムまたはコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントの一部となるリポジトリに、[Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] で保存します。

s3-version-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
AU-9(7) 監査対象のシステムまたはコンポーネントとは異なるオペレーティングシステムを実行しているコンポーネントに監査情報を保存します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-9 a. 監査情報と監査ログ記録ツールを、不正なアクセス、変更、削除から保護します。b. 監査情報の不正なアクセス、変更、削除が検出されたとき、[組織が定義した担当者またはロールをここに代入] に警告します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AU-9 a. 監査情報と監査ログ記録ツールを、不正なアクセス、変更、削除から保護します。b. 監査情報の不正なアクセス、変更、削除が検出されたとき、[組織が定義した担当者またはロールをここに代入] に警告します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
AU-9 a. 監査情報と監査ログ記録ツールを、不正なアクセス、変更、削除から保護します。b. 監査情報の不正なアクセス、変更、削除が検出されたとき、[組織が定義した担当者またはロールをここに代入] に警告します。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
AU-9 a. 監査情報と監査ログ記録ツールを、不正なアクセス、変更、削除から保護します。b. 監査情報の不正なアクセス、変更、削除が検出されたとき、[組織が定義した担当者またはロールをここに代入] に警告します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
AU-9 a. 監査情報と監査ログ記録ツールを、不正なアクセス、変更、削除から保護します。b. 監査情報の不正なアクセス、変更、削除が検出されたとき、[組織が定義した担当者またはロールをここに代入] に警告します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
AU-10 個人 (または個人を代行するプロセス) が [Assignment: organization-defined actions to be covered by non-repudiation]を行ったという反論の余地のない証拠を提供します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
AU-12 a. [組織が定義したシステムコンポーネントをここに代入] で、AU-2a に定義されているように、システムが監査できるイベントタイプの監査記録生成機能を用意します。b. [組織が定義した担当者またはロールをここに代入] が、システムの特定のコンポーネントによってログに記録されたイベントタイプを選択できるようにします。c. AU-2c で定義されたイベントタイプについて、AU-3 で定義された監査記録の内容を含む監査記録を生成します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
AU-14(1) システム起動時に自動的にセッション監査を開始します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

dynamodb-throughput-limit-check

このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループット性能がチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

lambda-dlq-check

このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

rds-enhanced-monitoring-enabled

Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

beanstalk-enhanced-health-reporting-enabled

AWS Elastic Beanstalk のヘルスレポートが強化されたことで、基盤となるインフラストラクチャの状態の変化に、より迅速に対応できるようになりました。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
CA-7 システムレベルの継続的監視戦略を策定し、組織レベルの継続的監視戦略に従って、以下を含む継続的なモニタリングを実施します: a。[Assignment: organization-defined system-level metrics] を監視すべきシステムレベルの指標を、以下のように設定します: b。モニタリングのための[Assignment: organization-defined frequencies (割り当て: 担当: 組織が定める頻度)] およびコントロールの有効性を評価するための [Assignment: organization-defined frequencies (割り当て: 組織が定める頻度)] を設定すること: c。継続的モニタリング戦略に従った継続的なコントロール評価: d。継続的なモニタリング戦略に従って、システムおよび組織で定義されたメトリクスの継続的なモニタリング: e。コントロール評価とモニタリングによって生成された情報の相関と分析: f。コントロール評価およびモニタリング情報の分析結果に対処するための対応措置: g。システムのセキュリティおよびプライバシーの状況を、[Assignment: organization-defined personnel or roles]、[Assignment: organization-defined frequency] に報告します。

s3-event-notifications-enabled

Amazon S3 イベント通知により、バケットオブジェクトに対する偶発的または意図的な変更について、関連する担当者に警告できます。アラートの例としては、新しいオブジェクトの作成、オブジェクトの削除、オブジェクトの復元、オブジェクトの紛失およびレプリケートなどが含まれます。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CA-9(1) 内部接続を確立する前に、構成システムコンポーネントのセキュリティおよびプライバシーコンプライアンスチェックを実行します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
CM-2(2) [Assignment: organization-defined automated mechanism] を使用して、システムの基本構成の最新性、完全性、正確性、および可用性を維持します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
CM-2(2) [Assignment: organization-defined automated mechanism] を使用して、システムの基本構成の最新性、完全性、正確性、および可用性を維持します。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CM-2(2) [Assignment: organization-defined automated mechanism] を使用して、システムの基本構成の最新性、完全性、正確性、および可用性を維持します。

ec2-stopped-instance

このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
CM-2(2) [Assignment: organization-defined automated mechanism] を使用して、システムの基本構成の最新性、完全性、正確性、および可用性を維持します。

ec2-volume-inuse-check

このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。
CM-2(2) [Assignment: organization-defined automated mechanism] を使用して、システムの基本構成の最新性、完全性、正確性、および可用性を維持します。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CM-2(2) [Assignment: organization-defined automated mechanism] を使用して、システムの基本構成の最新性、完全性、正確性、および可用性を維持します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

account-part-of-organizations

AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

ec2-stopped-instance

このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

ec2-volume-inuse-check

このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

rds-instance-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Relational Database Service (Amazon RDS) データベースインスタンスのアタックサーフェスを減らすことができます。
CM-2 a. システムの現在のベースラインの設定を開発し、文書化し、設定が管理された状態に維持します。b. システムのベースライン構成の見直しと更新: 1。[割り当て: 組織が定めた頻度]: 2。[Assignment: organization-defined circumstances] により必要とされる場合: 3。システムコンポーネントをインストールまたはアップグレードした場合。

redshift-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Redshift クラスターのアタックサーフェスを減らすことができます。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CM-3(6) [組織が定義したコントロールをここに代入] のコントロールを提供するために使用される暗号化メカニズムが構成管理に含まれていることを確認します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
CM-3 a. 構成管理されるシステムに対する変更のタイプを決定し、文書化します。b. システムに対する構成管理下の変更案をレビューし、セキュリティおよびプライバシーの影響分析を具体的に考慮して、そのような変更を承認または不承認にします。c. システムに関連する構成変更の決定を文書化します。d. 承認された構成管理下の変更をシステムに実装します。e. [組織が定義した期間をここに代入] の間、システムへの構成管理下の変更の記録を保持します。f. システムに対する構成管理下の変更に関連するアクティビティをモニタリングおよびレビューします。g. [「[組織が定義した頻度をここに代入]」または「[組織が定義した構成変更の条件をここに代入] の場合に」の 1 つまたは複数を選択] 会合する [組織が定義した構成変更管理チームをここに代入] を通じて構成変更管理のアクティビティを調整および監督します。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CM-3 a. 構成管理されるシステムに対する変更のタイプを決定し、文書化します。b. システムに対する構成管理下の変更案をレビューし、セキュリティおよびプライバシーの影響分析を具体的に考慮して、そのような変更を承認または不承認にします。c. システムに関連する構成変更の決定を文書化します。d. 承認された構成管理下の変更をシステムに実装します。e. [組織が定義した期間をここに代入] の間、システムへの構成管理下の変更の記録を保持します。f. システムに対する構成管理下の変更に関連するアクティビティをモニタリングおよびレビューします。g. [「[組織が定義した頻度をここに代入]」または「[組織が定義した構成変更の条件をここに代入] の場合に」の 1 つまたは複数を選択] 会合する [組織が定義した構成変更管理チームをここに代入] を通じて構成変更管理のアクティビティを調整および監督します。

rds-instance-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CM-7 a. [組織が定義したミッションに不可欠な機能をここに代入] のみを提供するようにシステムを設定します。b. 以下の機能、ポート、プロトコル、ソフトウェア、および/またはサービスの使用を禁止または制限します [Assignment: organization-defined prohibited or restricted functions, system ports, protocols, software, and/or services]。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CM-7 a. [組織が定義したミッションに不可欠な機能をここに代入] のみを提供するようにシステムを設定します。b. 以下の機能、ポート、プロトコル、ソフトウェア、および/またはサービスの使用を禁止または制限します [Assignment: organization-defined prohibited or restricted functions, system ports, protocols, software, and/or services]。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
CM-7 a. [組織が定義したミッションに不可欠な機能をここに代入] のみを提供するようにシステムを設定します。b. 以下の機能、ポート、プロトコル、ソフトウェア、および/またはサービスの使用を禁止または制限します: [Assignment: organization-defined prohibited or restricted functions, system ports, protocols, software, and/or services]

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CM-8 (1) コンポーネントのインストール、削除、およびシステムの更新において不可欠な部分であるシステムコンポーネントのインベントリを更新します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
CM-8 (1) コンポーネントのインストール、削除、およびシステムの更新において不可欠な部分であるシステムコンポーネントのインベントリを更新します。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CM-8(2) [Assignment: organization-defined automated mechanism] を使用して、システムの基本構成の最新性、完全性、正確性、および可用性を維持します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
CM-8(3) (a) [組織が定義した自動化されたメカニズムをここに代入] を [組織が定義した頻度をここに代入] の頻度で使用して、システム内に存在する許可されていないハードウェア、ソフトウェア、およびファームウェアのコンポーネントを検出します。(b) 許可されていないコンポーネントが検出された場合、[「そのようなコンポーネントによるネットワークアクセスを無効化する」、「コンポーネントを隔離する」または、「[組織で定義された担当者またはロールをここに代入] に通知する」の 1 つまたは複数を選択] のアクションを実行します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
CM-8(3) (a) [組織が定義した自動化されたメカニズムをここに代入] を [組織が定義した頻度をここに代入] の頻度で使用して、システム内に存在する許可されていないハードウェア、ソフトウェア、およびファームウェアのコンポーネントを検出します。(b) 許可されていないコンポーネントが検出された場合、[「そのようなコンポーネントによるネットワークアクセスを無効化する」、「コンポーネントを隔離する」または、「[組織で定義された担当者またはロールをここに代入] に通知する」の 1 つまたは複数を選択] のアクションを実行します。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CM-8(3) (a) [組織が定義した自動化されたメカニズムをここに代入] を [組織が定義した頻度をここに代入] の頻度で使用して、システム内に存在する許可されていないハードウェア、ソフトウェア、およびファームウェアのコンポーネントを検出します。(b) 許可されていないコンポーネントが検出された場合、[「そのようなコンポーネントによるネットワークアクセスを無効化する」、「コンポーネントを隔離する」または、「[組織で定義された担当者またはロールをここに代入] に通知する」の 1 つまたは複数を選択] のアクションを実行します。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
CM-8(3) (a) [組織が定義した自動化されたメカニズムをここに代入] を [組織が定義した頻度をここに代入] の頻度で使用して、システム内に存在する許可されていないハードウェア、ソフトウェア、およびファームウェアのコンポーネントを検出します。(b) 許可されていないコンポーネントが検出された場合、[「そのようなコンポーネントによるネットワークアクセスを無効化する」、「コンポーネントを隔離する」または、「[組織で定義された担当者またはロールをここに代入] に通知する」の 1 つまたは複数を選択] のアクションを実行します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
CM-8 a. システムコンポーネントのインベントリーを作成し、文書化します: 1。システムを正確に反映させます: 2。システム内の全構成要素を含みます: 3。他のシステムに割り当てられたコンポーネントやコンポーネントの重複計上を含みません: 4。トラッキングとレポーティングにはきめ細かいレベルが必要です: 5。システムコンポーネントの説明責任を達成するために、[組織が定義したシステムコンポーネントの説明責任を効果的に達成するのに必要とみなされる情報をここに代入] の情報を含めます。b. システムコンポーネントインベントリをレビューし、更新します: [Assignment: organization-defined frequency]。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
CM-8 a. システムコンポーネントのインベントリーを作成し、文書化します: 1。システムを正確に反映させます: 2。システム内の全構成要素を含みます: 3。他のシステムに割り当てられたコンポーネントやコンポーネントの重複計上を含みません: 4。トラッキングとレポーティングにはきめ細かいレベルが必要です: 5。システムコンポーネントの説明責任を達成するために、[組織が定義したシステムコンポーネントの説明責任を効果的に達成するのに必要とみなされる情報をここに代入] の情報を含めます。b. システムコンポーネントインベントリをレビューし、更新します: [Assignment: organization-defined frequency]。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CP-2(2) 緊急時の運用中に情報処理、通信、および環境サポートに必要なキャパシティーが存在するように、キャパシティー計画を実施します。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CP-2(2) 緊急時の運用中に情報処理、通信、および環境サポートに必要なキャパシティーが存在するように、キャパシティー計画を実施します。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CP-6(1) 同じ脅威の影響を受けにくくするために、一次保管場所と十分に離れた代替保管場所を特定します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

elb-cross-zone-load-balancing-enabled

Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

vpc-vpn-2-tunnels-up

冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CP-6(2) 代替ストレージサイトを構成し、復旧時間と復旧ポイントの目標に沿った復旧作業を促進します。

s3-version-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CP-6 a. システムのバックアップ情報の保存と検索を許可するために必要な契約を含む、代替のストレージサイトを確立します。b. 代替のストレージサイトが、プライマリサイトと同等の制御を提供していることを確認します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CP-9 a. [組織が定義したシステムコンポーネントをここに代入] に含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。b. システムに含まれるユーザーレベルの情報のバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。c. セキュリティおよびプライバシー関連ドキュメントを含むシステムドキュメントのバックアップを [組織が定義したリカバリ時間とリカバリポイントの目標と整合性のある頻度をここに代入] の頻度で実行します。d. バックアップ情報の機密性、完全性、可用性を保護します。

s3-version-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives (割り当て: 回復時間および回復ポイントの目標と一致する組織定義の期間)] 内にシステムを既知の状態に回復および再構成することを提供します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

elb-cross-zone-load-balancing-enabled

Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

vpc-vpn-2-tunnels-up

冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CP-10 中断、危殆化、または障害の後、[Assignment: organization-defined time period consistent with recovery time and recovery point objectives] 内にシステムを既知の状態に回復および再構成することを提供します。

s3-version-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
IA-2 (1) 特権アカウントへのアクセスに多要素認証を導入します。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
IA-2 (1) 特権アカウントへのアクセスに多要素認証を導入します。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
IA-2 (1) 特権アカウントへのアクセスに多要素認証を導入します。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-2 (1) 特権アカウントへのアクセスに多要素認証を導入します。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-2(2) 非特権アカウントへのアクセスに多要素認証を導入します。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
IA-2(2) 非特権アカウントへのアクセスに多要素認証を導入します。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
IA-2(2) 非特権アカウントへのアクセスに多要素認証を導入します。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-2(2) 非特権アカウントへのアクセスに多要素認証を導入します。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-2(6) [選択 ( 1 つまたは複数): local; network; remote] へアクセスする多要素認証を、[選択 ( 1 つまたは複数): privileged accounts; non-privileged accounts] へのアクセスに導入します。(a) アクセスを取得するシステムとは別のデバイスによって要素の 1 つを提供する、(b) そのデバイスが [Assignment: organization-defined strength of mechanism requirements] を満たしていること。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
IA-2(6) [選択 ( 1 つまたは複数): local; network; remote] へアクセスする多要素認証を、[選択 ( 1 つまたは複数): local; network; remote] へのアクセスに導入します。(a) アクセスを取得するシステムとは別のデバイスによって要素の 1 つを提供する、(b) そのデバイスが [Assignment: organization-defined strength of mechanism requirements] を満たしていること。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
IA-2(6) [選択 ( 1 つまたは複数): local; network; remote] へアクセスする多要素認証を、[選択 ( 1 つまたは複数): privileged accounts; non-privileged accounts] へのアクセスに導入します。(a) アクセスを取得するシステムとは別のデバイスによって要素の 1 つを提供する、(b) そのデバイスが [Assignment: organization-defined strength of mechanism requirements] を満たしていること。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-2(6) [選択 ( 1 つまたは複数): local; network; remote] へアクセスする多要素認証を、[選択 ( 1 つまたは複数): privileged accounts; non-privileged accounts] へのアクセスに導入します。(a) アクセスを取得するシステムとは別のデバイスによって要素の 1 つを提供する、(b) そのデバイスが [Assignment: organization-defined strength of mechanism requirements] を満たしていること。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-2(8) [選択 ( 1 つまたは複数): privileged accounts; non-privileged accounts (選択 (1 つ以上): 特権アカウント、非特権アカウント)] へのアクセスに、再生不能な認証メカニズムを実装します。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
IA-2(8) [選択 ( 1 つまたは複数): privileged accounts; non-privileged accounts (選択 (1 つ以上): 特権アカウント、非特権アカウント)] へのアクセスに、再生不能な認証メカニズムを実装します。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
IA-2(8) [選択 ( 1 つまたは複数): privileged accounts; non-privileged accounts (選択 (1 つ以上): 特権アカウント、非特権アカウント)] へのアクセスに、再生不能な認証メカニズムを実装します。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-2(8) [選択 ( 1 つまたは複数): privileged accounts; non-privileged accounts (選択 (1 つ以上): 特権アカウント、非特権アカウント)] へのアクセスに、再生不能な認証メカニズムを実装します。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
IA-3(3) (a) アドレスが動的に割り当てられる場合は、[組織が定義したリース情報とリース期間をここに代入] に従って、デバイスに割り当てる動的アドレス割り当てリース情報とリース期間を標準化します。(b) デバイスに割り当てられたときにリース情報を監査します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
IA-5(1) パスワードベースの認証の場合、次の各項を実施します。(a) 一般的に使用される、予想される、または侵害されたパスワードのリストを維持し、[組織が定義した頻度をここに代入] の頻度でリストを更新し、組織のパスワードが直接的または間接的に侵害された疑いがある場合にも更新します。(b) ユーザーがパスワードを作成または更新するときに、パスワードが IA-5(1)(a) に記載された一般的に使用される、予想される、または侵害されたパスワードのリストに含まれていないことを確認します。(c) 暗号で保護されたチャネルでのみパスワードを送信します。(d) 承認された salt を使用したキー導出関数を使用して、できればキー付きハッシュを使用してパスワードを保存します。(e) アカウントの回復時に新しいパスワードを即座に選択することを必須とします。(f) スペースや印刷可能なすべての文字を含む長いパスワードとパスフレーズをユーザーが選択できるようにします。(g) ユーザーが強力なパスワード認証システムを選択するのを支援する自動化ツールを使用します。(h) [組織が選択した構成と複雑さのルールをここに代入] の構成と複雑さのルールを適用します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
IA-5(1) パスワードベースの認証の場合、次の各項を実施します。(a) 一般的に使用される、予想される、または侵害されたパスワードのリストを維持し、[組織が定義した頻度をここに代入] の頻度でリストを更新し、組織のパスワードが直接的または間接的に侵害された疑いがある場合にも更新します。(b) ユーザーがパスワードを作成または更新するときに、パスワードが IA-5(1)(a) に記載された一般的に使用される、予想される、または侵害されたパスワードのリストに含まれていないことを確認します。(c) 暗号で保護されたチャネルでのみパスワードを送信します。(d) 承認された salt を使用したキー導出関数を使用して、できればキー付きハッシュを使用してパスワードを保存します。(e) アカウントの回復時に新しいパスワードを即座に選択することを必須とします。(f) スペースや印刷可能なすべての文字を含む長いパスワードとパスフレーズをユーザーが選択できるようにします。(g) ユーザーが強力なパスワード認証システムを選択するのを支援する自動化ツールを使用します。(h) [組織が選択した構成と複雑さのルールをここに代入] の構成と複雑さのルールを適用します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
IA-5(1) パスワードベースの認証の場合、次の各項を実施します。(a) 一般的に使用される、予想される、または侵害されたパスワードのリストを維持し、[組織が定義した頻度をここに代入] の頻度でリストを更新し、組織のパスワードが直接的または間接的に侵害された疑いがある場合にも更新します。(b) ユーザーがパスワードを作成または更新するときに、パスワードが IA-5(1)(a) に記載された一般的に使用される、予想される、または侵害されたパスワードのリストに含まれていないことを確認します。(c) 暗号で保護されたチャネルでのみパスワードを送信します。(d) 承認された salt を使用したキー導出関数を使用して、できればキー付きハッシュを使用してパスワードを保存します。(e) アカウントの回復時に新しいパスワードを即座に選択することを必須とします。(f) スペースや印刷可能なすべての文字を含む長いパスワードとパスフレーズをユーザーが選択できるようにします。(g) ユーザーが強力なパスワード認証システムを選択するのを支援する自動化ツールを使用します。(h) [組織が選択した構成と複雑さのルールをここに代入] の構成と複雑さのルールを適用します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
IA-5(1) パスワードベースの認証の場合、次の各項を実施します。(a) 一般的に使用される、予想される、または侵害されたパスワードのリストを維持し、[組織が定義した頻度をここに代入] の頻度でリストを更新し、組織のパスワードが直接的または間接的に侵害された疑いがある場合にも更新します。(b) ユーザーがパスワードを作成または更新するときに、パスワードが IA-5(1)(a) に記載された一般的に使用される、予想される、または侵害されたパスワードのリストに含まれていないことを確認します。(c) 暗号で保護されたチャネルでのみパスワードを送信します。(d) 承認された salt を使用したキー導出関数を使用して、できればキー付きハッシュを使用してパスワードを保存します。(e) アカウントの回復時に新しいパスワードを即座に選択することを必須とします。(f) スペースや印刷可能なすべての文字を含む長いパスワードとパスフレーズをユーザーが選択できるようにします。(g) ユーザーが強力なパスワード認証システムを選択するのを支援する自動化ツールを使用します。(h) [組織が選択した構成と複雑さのルールをここに代入] の構成と複雑さのルールを適用します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織の方針を反映させる必要があります。
IA-5(1) パスワードベースの認証の場合、次の各項を実施します。(a) 一般的に使用される、予想される、または侵害されたパスワードのリストを維持し、[組織が定義した頻度をここに代入] の頻度でリストを更新し、組織のパスワードが直接的または間接的に侵害された疑いがある場合にも更新します。(b) ユーザーがパスワードを作成または更新するときに、パスワードが IA-5(1)(a) に記載された一般的に使用される、予想される、または侵害されたパスワードのリストに含まれていないことを確認します。(c) 暗号で保護されたチャネルでのみパスワードを送信します。(d) 承認された salt を使用したキー導出関数を使用して、できればキー付きハッシュを使用してパスワードを保存します。(e) アカウントの回復時に新しいパスワードを即座に選択することを必須とします。(f) スペースや印刷可能なすべての文字を含む長いパスワードとパスフレーズをユーザーが選択できるようにします。(g) ユーザーが強力なパスワード認証システムを選択するのを支援する自動化ツールを使用します。(h) [組織が選択した構成と複雑さのルールをここに代入] の構成と複雑さのルールを適用します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
IA-5(1) パスワードベースの認証の場合、次の各項を実施します。(a) 一般的に使用される、予想される、または侵害されたパスワードのリストを維持し、[組織が定義した頻度をここに代入] の頻度でリストを更新し、組織のパスワードが直接的または間接的に侵害された疑いがある場合にも更新します。(b) ユーザーがパスワードを作成または更新するときに、パスワードが IA-5(1)(a) に記載された一般的に使用される、予想される、または侵害されたパスワードのリストに含まれていないことを確認します。(c) 暗号で保護されたチャネルでのみパスワードを送信します。(d) 承認された salt を使用したキー導出関数を使用して、できればキー付きハッシュを使用してパスワードを保存します。(e) アカウントの回復時に新しいパスワードを即座に選択することを必須とします。(f) スペースや印刷可能なすべての文字を含む長いパスワードとパスフレーズをユーザーが選択できるようにします。(g) ユーザーが強力なパスワード認証システムを選択するのを支援する自動化ツールを使用します。(h) [組織が選択した構成と複雑さのルールをここに代入] の構成と複雑さのルールを適用します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
IA-5(1) パスワードベースの認証の場合、次の各項を実施します。(a) 一般的に使用される、予想される、または侵害されたパスワードのリストを維持し、[組織が定義した頻度をここに代入] の頻度でリストを更新し、組織のパスワードが直接的または間接的に侵害された疑いがある場合にも更新します。(b) ユーザーがパスワードを作成または更新するときに、パスワードが IA-5(1)(a) に記載された一般的に使用される、予想される、または侵害されたパスワードのリストに含まれていないことを確認します。(c) 暗号で保護されたチャネルでのみパスワードを送信します。(d) 承認された salt を使用したキー導出関数を使用して、できればキー付きハッシュを使用してパスワードを保存します。(e) アカウントの回復時に新しいパスワードを即座に選択することを必須とします。(f) スペースや印刷可能なすべての文字を含む長いパスワードとパスフレーズをユーザーが選択できるようにします。(g) ユーザーが強力なパスワード認証システムを選択するのを支援する自動化ツールを使用します。(h) [組織が選択した構成と複雑さのルールをここに代入] の構成と複雑さのルールを適用します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
IA-5 (7) 暗号化されていない静的オーセンティケータが、アプリケーションやその他の形式の静的ストレージに埋め込まれていないことを確認します。

codebuild-project-envvar-awscred-check

AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY_ID が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。
IR-4 (1) [組織が定義した自動化メカニズムをここに代入] を使用してインシデント処理プロセスをサポートします。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
IR-4(5) [組織が定義したセキュリティ違反をここに代入] が検出された場合にシステムを自動的に無効にする設定可能な機能を実装します。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
IR-4(12) インシデント後にシステムに残っている悪意のあるコードやその他の残留アーティファクトを分析します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
IR-4(12) インシデント後にシステムに残っている悪意のあるコードやその他の残留アーティファクトを分析します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
IR-4(12) インシデント後にシステムに残っている悪意のあるコードやその他の残留アーティファクトを分析します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
IR-4(12) インシデント後にシステムに残っている悪意のあるコードやその他の残留アーティファクトを分析します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
IR-4(12) インシデント後にシステムに残っている悪意のあるコードやその他の残留アーティファクトを分析します。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
IR-4(12) インシデント後にシステムに残っている悪意のあるコードやその他の残留アーティファクトを分析します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
RA-3(4) [Assignment: organization-defined systems or system components] に対するリスクを予測し、特定するために、以下の高度な自動化および分析機能を採用します: [Assignment: organization-defined advanced automation and analytics capabilities]。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-3 a. 情報セキュリティの考慮事項が組み込まれた [組織が定義したシステム開発のライフサイクルをここに代入] を使用して、情報システムを取得、開発、および管理します。b. システム開発のライフサイクル全体を通じて、情報セキュリティとプライバシーの役割と責任を定義し、文書化します。c. 情報セキュリティとプライバシーの役割と責任を持つ個人を特定します。d. 組織の情報セキュリティとプライバシーのリスク管理プロセスをシステム開発ライフサイクルのアクティビティに統合します。

codebuild-project-envvar-awscred-check

AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY_ID が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。
SA-3 a. 情報セキュリティの考慮事項が組み込まれた [組織が定義したシステム開発のライフサイクルをここに代入] を使用して、情報システムを取得、開発、および管理します。b. システム開発のライフサイクル全体を通じて、情報セキュリティとプライバシーの役割と責任を定義し、文書化します。c. 情報セキュリティとプライバシーの役割と責任を持つ個人を特定します。d. 組織の情報セキュリティとプライバシーのリスク管理プロセスをシステム開発ライフサイクルのアクティビティに統合します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-8(19) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で継続的保護のセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(19) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で継続的保護のセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(21) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で自己分析のセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(21) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で自己分析のセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(22) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で説明責任とトレーサビリティのセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(22) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で説明責任とトレーサビリティのセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(24) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で障害と回復におけるセキュリティのセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(24) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で障害と回復におけるセキュリティのセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(25) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で経済性を考慮したセキュリティのセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(25) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で経済性を考慮したセキュリティのセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(26) [組織が定義したシステムまたはシステムコンポーネントをここに代入] でパフォーマンスを維持したセキュリティのセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(26) [組織が定義したシステムまたはシステムコンポーネントをここに代入] でパフォーマンスを維持したセキュリティのセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(27) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で人的要素を考慮したセキュリティのセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(27) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で人的要素を考慮したセキュリティのセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(28) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で受け入れられるセキュリティのセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(28) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で受け入れられるセキュリティのセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(29) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で再現可能で文書化された手順のセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(29) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で再現可能で文書化された手順のセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(30) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で手順の厳密性のセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(30) [組織が定義したシステムまたはシステムコンポーネントをここに代入] で手順の厳密性のセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-8(31) [組織が定義したシステムまたはシステムコンポーネントをここに代入] でシステム変更のセキュリティのセキュリティ設計原則を実装します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-8(31) [組織が定義したシステムまたはシステムコンポーネントをここに代入] でシステム変更のセキュリティのセキュリティ設計原則を実装します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-10 システム、システムコンポーネント、またはシステムサービスのデベロッパーが、次の各項に従うことを必須とします。a. システム、コンポーネント、またはサービスを [設計、開発、実装、運用、廃棄の中から 1 つまたは複数を選択] する際に構成管理を実行する。b. [Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティとプライバシーへの影響を文書化する。e. システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-10 システム、システムコンポーネント、またはシステムサービスのデベロッパーが、次の各項に従うことを必須とします。a. システム、コンポーネント、またはサービスを [設計、開発、実装、運用、廃棄の中から 1 つまたは複数を選択] する際に構成管理を実行する。b. [Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティとプライバシーへの影響を文書化する。e. システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-11(1) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、静的コード分析ツールを利用して、一般的な欠陥を特定し、分析の結果を文書化することを必須とします。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-11(1) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、静的コード分析ツールを利用して、一般的な欠陥を特定し、分析の結果を文書化することを必須とします。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-11(1) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、静的コード分析ツールを利用して、一般的な欠陥を特定し、分析の結果を文書化することを必須とします。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-11(5) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、ペネトレーションテストを次の条件で実行することを必須とします。(a) 厳格さのレベルは [組織が定義したテストの幅と深さをここに代入]、および (b) 制約は [組織が定義する制約をここに代入]。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-11(5) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、ペネトレーションテストを次の条件で実行することを必須とします。(a) 厳格さのレベルは [組織が定義したテストの幅と深さをここに代入]、および (b) 制約は [組織が定義する制約をここに代入]。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-11(5) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、ペネトレーションテストを次の条件で実行することを必須とします。(a) 厳格さのレベルは [組織が定義したテストの幅と深さをここに代入]、および (b) 制約は [組織が定義する制約をここに代入]。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-11(6) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、アタックサーフェスのレビューを行うことを必須とします。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-11(6) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、アタックサーフェスのレビューを行うことを必須とします。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-11(6) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、アタックサーフェスのレビューを行うことを必須とします。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-11(9) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、インタラクティブなアプリケーションセキュリティテストツールを利用して、欠陥を特定し、結果を文書化することを必須とします。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-11(9) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、インタラクティブなアプリケーションセキュリティテストツールを利用して、欠陥を特定し、結果を文書化することを必須とします。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-11(9) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、インタラクティブなアプリケーションセキュリティテストツールを利用して、欠陥を特定し、結果を文書化することを必須とします。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-15(2) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、開発プロセス中に使用するセキュリティおよびプライバシーの追跡ツールを選択し、利用することを必須とします。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-15(2) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、開発プロセス中に使用するセキュリティおよびプライバシーの追跡ツールを選択し、利用することを必須とします。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-15(2) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、開発プロセス中に使用するセキュリティおよびプライバシーの追跡ツールを選択し、利用することを必須とします。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-15(8) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、類似のシステム、コンポーネント、またはサービスに基づく脅威のモデル化と脆弱性分析を使用して、現在の開発プロセスのための情報とすることを必須とします。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-15(8) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、類似のシステム、コンポーネント、またはサービスに基づく脅威のモデル化と脆弱性分析を使用して、現在の開発プロセスのための情報とすることを必須とします。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-15(8) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、類似のシステム、コンポーネント、またはサービスに基づく脅威のモデル化と脆弱性分析を使用して、現在の開発プロセスのための情報とすることを必須とします。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SA-17(2) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、(a) セキュリティ関連のハードウェア、ソフトウェア、およびファームウェアを定義し、(b) セキュリティ関連のハードウェア、ソフトウェア、およびファームウェアの定義が完全であるという根拠を提供することを必須とします。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
SA-17(2) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、(a) セキュリティ関連のハードウェア、ソフトウェア、およびファームウェアを定義し、(b) セキュリティ関連のハードウェア、ソフトウェア、およびファームウェアの定義が完全であるという根拠を提供することを必須とします。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SA-17(2) システム、システムコンポーネント、またはシステムサービスのデベロッパーが、(a) セキュリティ関連のハードウェア、ソフトウェア、およびファームウェアを定義し、(b) セキュリティ関連のハードウェア、ソフトウェア、およびファームウェアの定義が完全であるという根拠を提供することを必須とします。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SC-2 ユーザーインターフェイスサービスを含むユーザー機能をシステム管理機能から分離します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
SC-5(1) 個人が他のシステムに対して以下のようなサービス拒否攻撃を行うことを制限します: [Assignment: organization-defined denial-of-service attacks]。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

elb-cross-zone-load-balancing-enabled

Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

rds-instance-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

vpc-vpn-2-tunnels-up

冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
SC-5(2) 情報洪水によるサービス妨害攻撃の影響を抑えるために、容量、帯域幅、その他の冗長性を管理します。

s3-version-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
SC-5(3) (a) システムに対する、またはシステムを起点とする DoS (denial-of-service) 攻撃の兆候を検出するために、[組織が定義したモニタリングツールをここに代入] のモニタリングツールを使用します。(b) [組織が定義したシステムリソース] のシステムリソースをモニタリングして、有効な DoS 攻撃を回避するのに十分なリソースが存在するかを判定します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SC-5 a. [組織が定義した DoS イベントのタイプをここに代入] の DoS イベントのタイプの影響 [「から保護」、「を限定」から選択] します。b. サービス妨害の目的を達成するために、以下の管理策を採用します: [Assignment: organization-defined controls by type of denial-of-service event]。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC-7 (3) システムに対する外部ネットワーク接続の数を制限します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC-7(4) (a) 外部通信サービスごとにマネージドインターフェイスを実装します。(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立します。(c) 各インターフェイス間で送信される情報の機密性と完全性を保護します。(d) トラフィックフローポリシーの各例外を、サポートするミッションまたはビジネスのニーズとそのニーズの期間を含めて文書化します。(e) トラフィックフローポリシーの例外を [組織が定義した頻度をここに代入] の頻度で確認し、ミッションまたはビジネスニーズによって明示的にサポートされなくなった例外を削除します。(f) 外部のネットワークとのコントロールプレーントラフィックの不正な交換を防止します。(g) リモートネットワークが内部ネットワークからの不正なコントロールプレーントラフィックを検出できるようにするための情報を公開します。(h) 外部のネットワークからの不正なコントロールプレーントラフィックをフィルタリングします。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-7(5) デフォルトでネットワーク通信トラフィックを拒否し、例外的にネットワーク通信トラフィックを許可します [Selection (one or more): at managed interfaces; for [Assignment: organization-defined systems]]。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
SC-7(5) デフォルトでネットワーク通信トラフィックを拒否し、例外的にネットワーク通信トラフィックを許可します [Selection (one or more): at managed interfaces; for [Assignment: organization-defined systems]]。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
SC-7(5) デフォルトでネットワーク通信トラフィックを拒否し、例外的にネットワーク通信トラフィックを許可します [Selection (one or more): at managed interfaces; for [Assignment: organization-defined systems]]。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
SC-7(5) デフォルトでネットワーク通信トラフィックを拒否し、例外的にネットワーク通信トラフィックを許可します [Selection (one or more): at managed interfaces; for [Assignment: organization-defined systems]]。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC-7(9) (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。(b) 拒否された通信に関連する内部ユーザーが誰であるかを監査します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-7(10) (a) 情報の不正な流出を防止します。(b) 不正な流出のテストを [組織が定義した頻度をここに代入] の頻度で実施します。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC-7(11) [Assignment: organization-defined authorized sources]からの受信通信のみを、[Assignment: organization-defined authorized destinations]にルーティングすることを許可します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

acm-certificate-expiration-check

X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7(16) 管理対象インタフェースを表す特定のシステムコンポーネントの検出を防止します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-7(18) 境界保護装置の動作障害時にシステムが安全でない状態になるのを防ぎます。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
SC-7(18) 境界保護装置の動作障害時にシステムが安全でない状態になるのを防ぎます。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC-7(20) [Assignment: organization-defined system components] を他のシステムコンポーネントから動的に分離する機能を提供します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC-7(21) 境界保護メカニズムを使用して、[Assignment: organization-defined missions and/or business functions] をサポートする [Assignment: organization-defined missions and/or business functions] を分離します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
SC-7 a. システムに対する外部管理インターフェイスおよびシステム内の主要な内部管理インターフェイスにおける通信をモニタリングし、制御します。b. 組織内のネットワークから [「物理的」、「論理的」から選択] に分離されたパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを実装します。c. 外部のネットワークや情報システムへの接続は、組織のセキュリティやプライバシーのアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
SC-8 (1) 送信時に [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択(1 つ以上): 情報の不正な開示を防ぐ、情報の変更を検出する)] に暗号化メカニズムを実装します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
SC-8(2) 送信の準備中および受信中に情報の [選択 ( 1 つまたは複数): confidentiality; integrity (選択( 1 つまたは複数): 機密性、完全性)] を維持します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
SC-8 転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-12(2) Produce, control, and distribute symmetric cryptographic keys using [Selection: NIST FIPS-validated; NSA-approved] key management technology and processes.

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

acm-certificate-expiration-check

X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-12(3) [「NSA 承認のキー管理テクノロジーとプロセス」、「事前配置されたキーマテリアル」、「DoD 承認または DoD 発行の Medium Assurance PKI 証明書」、「DoD 承認または DoD 発行の Medium Hardware Assurance PKI 証明書とユーザーのプライベートキーを保護するハードウェアセキュリティトークン」、「組織が定義した要件に従って発行された証明書」から選択] を使用して、非対称暗号キーを生成、管理、配布します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-12 以下のキーの管理要件 [Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction (割り当て: 組織で定義されたキーの生成、配布、保存、アクセス、破棄に関する要件)] に従って、システム内で使用される必要な暗号化の暗号化キーを確立しおよび管理します。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

codebuild-project-artifact-encryption

機密性のある保管中のデータを保護するため、AWS CodeBuild アーティファクトで暗号化が有効になっていることを確認します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

kinesis-stream-encrypted

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-13 a. [組織が定義した暗号の用途をここに代入] を決定します。b. 指定された暗号用途ごとに必要な次のタイプの暗号を実装します。[組織が定義した指定された暗号用途ごとの暗号のタイプをここに代入]。

secretsmanager-using-cmk

保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

ec2-imdsv2-check

Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS Foundational セキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定します。実際の値には、組織のポリシーを反映する必要があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

secretsmanager-rotation-enabled-check

このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
SC-23(3) Generate a unique session identifier for each session with [Assignment: organization-defined randomness requirements] and recognize only session identifiers that are system-generated.

ecs-containers-readonly-access

Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
SC-23(5) Only allow the use of [Assignment: organization-defined certificate authorities] for verification of the establishment of protected sessions.

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-23(5) Only allow the use of [Assignment: organization-defined certificate authorities] for verification of the establishment of protected sessions.

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-23 通信のセッションの信頼性を確保します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-23 通信のセッションの信頼性を確保します。

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-23 通信のセッションの信頼性を確保します。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
SC-23 通信のセッションの信頼性を確保します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-23 通信のセッションの信頼性を確保します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-23 通信のセッションの信頼性を確保します。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-23 通信のセッションの信頼性を確保します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
SC-23 通信のセッションの信頼性を確保します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
SC-23 通信のセッションの信頼性を確保します。

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

codebuild-project-artifact-encryption

機密性のある保管中のデータを保護するため、AWS CodeBuild アーティファクトで暗号化が有効になっていることを確認します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

kinesis-stream-encrypted

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-28(1) Implement cryptographic mechanisms to prevent unauthorized disclosure and modification of the following information at rest on [Assignment: organization-defined system components or media]: [Assignment: organization-defined information].

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
SC-28(1) Implement cryptographic mechanisms to prevent