NIST の「800 172」の運用のベストプラクティス - AWS Config
テンプレート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

NIST の「800 172」の運用のベストプラクティス

コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、NIST の「800-172」と、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の NIST の「800-172」によるコントロールに関連付けられます。NIST の「800-172」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

alb-http-drop-invalid-header-enabled

 Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

alb-http-to-https-redirection-check

 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

api-gw-ssl-enabled

 Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elasticsearch-node-to-node-encryption-check

 Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elb-acm-certificate-required

 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elb-tls-https-listeners-only

 Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

redshift-require-tls-ssl

 Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-ssl-requests-only

 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

dms-replication-not-public

 DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ebs-snapshot-public-restorable-check

 EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ec2-instance-no-public-ip

 Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elasticsearch-in-vpc-only

 Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

emr-master-no-public-ip

 Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ec2-instances-in-vpc

 Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

lambda-function-public-access-prohibited

 AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

lambda-inside-vpc

 AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

no-unrestricted-route-to-igw

 Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

rds-instance-public-access-check

 Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

rds-snapshots-public-prohibited

 Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

redshift-cluster-public-access-check

 Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

restricted-common-ports

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-account-level-public-access-blocks-periodic

 Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

restricted-ssh

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-level-public-access-prohibited

 Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-public-read-prohibited

 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

s3-bucket-public-write-prohibited

 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

sagemaker-notebook-no-direct-internet-access

 Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ssm-document-not-public

 AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

subnet-auto-assign-public-ip-disabled

 Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

vpc-default-security-group-closed

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

vpc-sg-open-only-to-authorized-ports

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

autoscaling-launch-config-public-ip-disabled

 パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

alb-desync-mode-check

 HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

clb-desync-mode-check

 HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

redshift-enhanced-vpc-routing-enabled

 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

elbv2-acm-certificate-required

 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

opensearch-https-required

 機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

opensearch-in-vpc-only

 Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

opensearch-node-to-node-encryption-check

 Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

ec2-token-hop-limit-check

 インスタンスメタデータサービス (IMDS) の HTTP PUT 応答が Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに限定されていることを確認します。IMDSv2 では、メタデータ応答ホップ制限が 1 (Config デフォルト) に設定されているため、シークレットトークンを含む PUT 応答は、インスタンスの外に移動することができません。この値が 1 より大きい場合、トークンは EC2 インスタンスから移動することができます。
3.1.3e 接続されたシステムのセキュリティドメイン間の情報フローを制御するために、[Assignment: organization-defined secure information transfer solutions] を採用します。

nacl-no-unrestricted-ssh-rdp

 ポート 22 (SSH) やポート 3389 (RDP) などのネットワークアクセスコントロールリスト (NACLs) のリモートサーバー管理ポートへのアクセスは、VPC 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.2.1e ソーシャルエンジニアリング、高度持続的脅威行為者、侵入、不審な行動からの脅威の認識と対応に焦点を当てた意識向上トレーニング [Assignment: organization-defined frequency]を提供し、[Assignment: organization-defined frequency] または脅威に大きな変化があった場合にトレーニングを更新します。 security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

ec2-managedinstance-patch-compliance-status-check

 このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

elastic-beanstalk-managed-updates-enabled

 Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

redshift-cluster-maintenancesettings-check

 このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
3.4.2e 誤設定または未承認のシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、パッチ、再設定、またはその他の軽減措置を促進するために、[選択 (一つまたは複数): コンポーネントを削除する、コンポーネントを検疫または修復ネットワークに配置する)] を実行します。

rds-automatic-minor-version-upgrade-enabled

 Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

ec2-instance-managed-by-systems-manager

 AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

ec2-stopped-instance

 このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

ec2-volume-inuse-check

 このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

eip-attached

 このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
3.4.3e 自動検出と管理ツールを使用し、システムコンポーネントの最新、完全、正確、かつ容易に入手可能なインベントリを維持します。

vpc-network-acl-unused-check

 このルールにより、Amazon Virtual Private Cloud (Amazon VPC) のネットワークアクセスコントロールリストが使用されているかどうかを確認します。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

iam-password-policy

 ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

secretsmanager-rotation-enabled-check

 このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

secretsmanager-scheduled-rotation-success-check

 このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
3.5.2e 多要素認証や複雑なアカウント管理には対応していないシステムおよびシステムコンポーネントのパスワードの生成、保護、ローテーション、管理のために自動化されたメカニズムを採用します。

secretsmanager-scheduled-rotation-success-check

 このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
3.11.1e リスク評価の一環として [Assignment: organization-defined sources of threat intelligence] を使用し、組織のシステム開発、セキュリティアーキテクチャ、セキュリティソリューションの選択、監視、脅威狩り、対応および復旧活動の指針とし、情報を提供することができます。

guardduty-enabled-centralized

 Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。
3.11.2e サイバー脅威ハンティング活動 [選択 ( 1 つまたは複数): [Assignment: organization- defined frequency]、[Assignment: organization-defined event]] を実施して、[Assignment: organization-defined systems] の侵害指標を検索し、既存の管理を回避する脅威を検出、追跡、および破壊します。

guardduty-enabled-centralized

 Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。
3.11.5e 現在および蓄積された脅威情報に基づき、組織のシステムおよび組織に対する予想されるリスクに対処するためのセキュリティソリューション [Assignment: organization-defined frequency] の有効性を評価します。 annual-risk-assessment-performed (process check) 年に 1 回、組織のリスク評価を実施します。リスク評価は、組織に影響を及ぼす可能性のある特定のリスクや脆弱性の影響を判断するのに役立ちます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

dms-replication-not-public

 DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ebs-snapshot-public-restorable-check

 EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ec2-instance-no-public-ip

 Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

elasticsearch-in-vpc-only

 Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

emr-master-no-public-ip

 Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ec2-instances-in-vpc

 Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

lambda-function-public-access-prohibited

 AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

lambda-inside-vpc

 AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

rds-instance-public-access-check

 Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

rds-snapshots-public-prohibited

 Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

redshift-cluster-public-access-check

 Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-account-level-public-access-blocks-periodic

 Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-bucket-public-read-prohibited

 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-bucket-public-write-prohibited

 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

sagemaker-notebook-no-direct-internet-access

 Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

subnet-auto-assign-public-ip-disabled

 Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

opensearch-in-vpc-only

 Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

nacl-no-unrestricted-ssh-rdp

 ポート 22 (SSH) やポート 3389 (RDP) などのネットワークアクセスコントロールリスト (NACLs) のリモートサーバー管理ポートへのアクセスは、VPC 内のリソースへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

s3-bucket-level-public-access-prohibited

 Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

ssm-document-not-public

 AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

autoscaling-launch-config-public-ip-disabled

 パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

redshift-enhanced-vpc-routing-enabled

 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

restricted-ssh

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

restricted-common-ports

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

vpc-default-security-group-closed

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

vpc-sg-open-only-to-authorized-ports

 Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
3.13.4e 組織のシステムシステムと構成要素における [選択 ( 1 つまたは複数): [Assignment: organization-defined physical isolation techniques]、[Assignment: organization-defined logical isolation techniques]] を実行します。

no-unrestricted-route-to-igw

 Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
3.14.1e ルートオブトラスト機構または暗号署名を使用して、[Assignment: organization-defined security critical or essential software] の完全性を検証します。

cloud-trail-log-file-validation-enabled

 AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

guardduty-enabled-centralized

 Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

cloud-trail-cloud-watch-logs-enabled

 Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

cloudwatch-alarm-action-check

 Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

ec2-instance-detailed-monitoring-enabled

 このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

rds-enhanced-monitoring-enabled

 Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

vpc-flow-logs-enabled

 VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
3.14.2e 組織システムやシステムコンポーネントを継続的にモニタリングし、異常なアクティビティや疑わしいアクティビティがないことを確認します。

securityhub-enabled

 AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
3.14.6e [Assignment: organization-defined external organizations (割り当て: 組織で定義された外部組織)] から入手した脅威指標情報と効果的な緩和策を、侵入検知と脅威ハンティングの指針と情報に利用します。

guardduty-enabled-centralized

 Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ec2-managedinstance-association-compliance-status-check

 AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ec2-managedinstance-patch-compliance-status-check

 このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ec2-instance-managed-by-systems-manager

 AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ecs-fargate-latest-platform-version

 セキュリティの更新やパッチは、AWS Fargate のタスクに自動的にデプロイされます。AWS Fargate のプラットフォームバージョンに影響を与えるセキュリティ上の問題が見つかった場合、AWS はそのプラットフォームバージョンにパッチを適用します。AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するには、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。
3.14.7e [Assignment: organization-defined security critical or essential software, firmware, and hardware components] の正しさを、[Assignment: organization-defined verification methods or techniques] を使って検証します。

ecr-private-image-scanning-enabled

 Amazon Elastic Container Repository (ECR) イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for NIST 800 172」で入手できます。