翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
PCI DSS 3.2.1 運用のベストプラクティス
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 と AWS マネージド Config ルール間のマッピングの例を示します。各 AWS Config ルールは特定の AWS リソースに適用され、1 つ以上の PCI DSS コントロールに関連付けられます。「PCI DSS」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
| コントロール ID | コントロールの概要 | AWS 設定ルール | ガイダンス |
|---|---|---|---|
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon EMR クラスターのマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があります。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | AWS Network Firewall ポリシーは、ファイアウォールが Amazon VPC 内のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認して、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 1.3.6 | カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。 | デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Relational Database Service (Amazon RDS) データベースクラスターのアタックサーフェスを減らすことができます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。 | デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Relational Database Service (Amazon RDS) データベースインスタンスのアタックサーフェスを減らすことができます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。 | デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Redshift クラスターのアタックサーフェスを減らすことができます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。 | デフォルトの名前は一般に知られているため、設定時に変更する必要があります。Amazon Redshift クラスターのデフォルトのデータベース名を変更することで、Redshift クラスターの攻撃面を減らすことができます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | 組織のポリシーが指定した通り IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | AWS Organizations AWS アカウント 内の の一元管理は、アカウントが準拠していることを確保するのに役立ちます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内の API コールアクティビティの詳細が提供されます AWS アカウント。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | AWS CloudTrail ログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | キーのローテーションを有効にして、暗号化期間の最後に到達した後にキーがローテーションされるようにします。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | このルールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに複数の ENI があるかどうかを確認します。複数の ENI が存在すると、デュアルホームインスタンス (複数のサブネットを持つインスタンス) を引き起こす可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。Ä¢ インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)、Ä¢ SysAdmin Audit Network Security (SANS) Institute Ä¢・国立標準技術研究所 (NIST)。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager は、マネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは ENI にセキュリティグループがアタッチされるようになります。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS では、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースの を作成して使用します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。Ä¢ インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)、Ä¢ SysAdmin Audit Network Security (SANS) Institute Ä¢・国立標準技術研究所 (NIST)。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon EMR クラスターのマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があります。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 2.2.3 | 安全ではないと考えられる必要なサービス、プロトコル、またはデーモンには、追加のセキュリティ機能を実装します。 | HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.4 | PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは ENI にセキュリティグループがアタッチされるようになります。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。 | |
| 2.4 | PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。 | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。 | |
| 2.4 | PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| 2.4 | PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。 | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) のネットワークアクセスコントロールリストが使用されていることが確認されます。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。 | |
| 3.1 | すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| 3.1 | すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| 3.1 | すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。 | データのバックアッププロセスを支援するために、 AWS バックアップリカバリポイントに最小保持期間が設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| 3.1 | すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | AWS Backup 復旧ポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用した暗号化が必要であることを確認してください。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.5.2 | 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。 | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限するのに役立ちます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 3.5.2 | 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS では、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 3.5.3 | カード会員データの暗号化/復号化に使用されるシークレットキーとプライベートキーは、常に次の形式のいずれか (または複数) で保管してください。• データ暗号化キーと少なくとも同等の強度を持つキー暗号化キーで暗号化し、データ暗号化キーとは別に保管する • 安全な暗号化方式でデバイス (ハードウェア (ホストなど) セキュリティモジュール (HSM) や PTS が承認したポイントオブインタラクションデバイスなど)内にあること • 業界で認められている方法に従って、少なくとも 2 つのフルレングスのキーコンポーネントまたはキーシェアとして使用します。注意: パブリックキーをこれらのいずれかの形式で保存する必要はありません。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 3.5.3 | カード会員データの暗号化/復号化に使用されるシークレットキーとプライベートキーは、常に次の形式のいずれか (または複数) で保管してください。• データ暗号化キーと少なくとも同等の強度を持つキー暗号化キーで暗号化し、データ暗号化キーとは別に保管する • 安全な暗号化方式でデバイス (ハードウェア (ホストなど) セキュリティモジュール (HSM) や PTS が承認したポイントオブインタラクションデバイスなど)内にあること • 業界で認められている方法に従って、少なくとも 2 つのフルレングスのキーコンポーネントまたはキーシェアとして使用します。注意: パブリックキーをこれらのいずれかの形式で保存する必要はありません。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.5.3 | カード会員データの暗号化/復号化に使用されるシークレットキーとプライベートキーは、常に次の形式のいずれか (または複数) で保管してください。• データ暗号化キーと少なくとも同等の強度を持つキー暗号化キーで暗号化し、データ暗号化キーとは別に保管する • 安全な暗号化方式でデバイス (ハードウェア (ホストなど) セキュリティモジュール (HSM) や PTS が承認したポイントオブインタラクションデバイスなど)内にあること • 業界で認められている方法に従って、少なくとも 2 つのフルレングスのキーコンポーネントまたはキーシェアとして使用します。注意: パブリックキーをこれらのいずれかの形式で保存する必要はありません。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.6.4 | 関連するアプリケーション・ベンダーまたはキーの所有者によって定義され、業界のベストプラクティスおよびガイドライン(NIST Special Publication 800-57 など)に基づく、暗号期間の終了に達した鍵の 変更 (例えば、定められた期間が経過した後および/または所定の鍵によって一定量の暗号文が生成された後など)。 | キーのローテーションを有効にして、暗号化期間の最後に到達した後にキーがローテーションされるようにします。 | |
| 3.6.5 | キーの完全性が損なわれた場合 (例えば、平文のキーコンポーネントを知っている従業員が退職した場合)、またはキーが危険にさらされている疑いがある場合は、必要と思われるキーの廃棄または交換 (アーカイブ、破棄、取り消しなど)。注意: 廃止または交換された暗号化キーを保存する必要がある場合は、これらの鍵を (キー暗号化キーを使用するなどして) 安全にアーカイブする必要があります。アーカイブされた暗号化キーは、復号化/検証の目的でのみ使用してください。 | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されないようにします。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| 3.6.7 | 暗号化キーの不正な代替の防止 | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されないようにします。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します。これらの証明書は有効で、期限切れではない必要があります。このルールには daysToExpiration の値が必要です (AWS 基礎セキュリティのベストプラクティス値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager は、マネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | セキュリティの更新とパッチは、 AWS Fargate タスクに自動的にデプロイされます。 AWS Fargate プラットフォームのバージョンに影響するセキュリティ上の問題が見つかった場合、 はプラットフォームのバージョンを AWS パッチします。 AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するために、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 6.3.2 | (手動または自動プロセスのいずれかを使用して) 潜在的なコーディングの脆弱性を特定するために、本番環境または顧客にリリースする前にカスタムコードをレビューします。• コードの変更は、元のコード作成者以外の個人、およびコードレビュー技術と安全なコーディングプラクティスに精通している個人によってレビューされます。• コードレビューにより、コードが安全なコーディングガイドラインに従って開発されていることを確認します。• リリース前に適切な修正が実施されます。• コードレビューの結果は、リリース前に管理者によってレビューおよび承認されます。 (次のページに続く) | Amazon Elastic Container Repository (ECR) イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる) を設定できます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | AWS WAF に空ではないルールがあることを確認します。条件のないルールは、意図しない動作を引き起こす可能性があります。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | AWS WAF に空ではないルールグループがあることを確認します。空のルールグループは、意図しない動作を引き起こす可能性があります。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | AWS WAF にアタッチされたウェブ ACL には、ウェブリクエストを検査および制御するためのルールとルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、WAF による検出または処理なしに通過します。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | 最小特権の原則の実装を支援するため、ルートユーザー以外のあるユーザーに Amazon Elastic Container Service (Amazon ECS) タスク定義へのアクセスが指定されていることを確認します。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | このルールでは、アクセスコントロールリスト (ACL) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。ACLsは、 AWS Identity and Access Management (IAM) より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムです。ベストプラクティスは、ACL の代わりに、IAM ポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することです。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | 最小特権の原則の実装を支援するため、Amazon Elastic Container Service (Amazon ECS) タスク定義では拡張された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | Amazon Elastic Container Service (Amazon ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | 最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限するのに役立ちます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS では、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS では、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースの を作成して使用します。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限するのに役立ちます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS では、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS では、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースの を作成して使用します。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.2 | 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | 最小特権の原則の実装を支援するため、Amazon Elastic Container Service (Amazon ECS) タスク定義では拡張された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | Amazon Elastic Container Service (Amazon ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | 最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーにブロックされたアクションをポリシーに含めることを制限するのに役立ちます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS では、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS では、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Effect」:「Allow」を「Action」:「*」と含めないように制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースの を作成して使用します。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | 最小特権の原則の実装を支援するため、Amazon Elastic Container Service (Amazon ECS) タスク定義では拡張された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | Amazon Elastic Container Service (Amazon ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | 最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、最小特権と職務の分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーにブロックされたアクションをポリシーに含めることを制限するのに役立ちます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS では、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS では、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Effect」:「Allow」を「Action」:「*」と含めないように制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースの を作成して使用します。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。 | |
| 7.2.3 | デフォルトの「すべて拒否」設定。 | このルールでは、アクセスコントロールリスト (ACL) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。ACLsは、 AWS Identity and Access Management (IAM) より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムです。ベストプラクティスは、ACL の代わりに、IAM ポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することです。 | |
| 8.1.1 | システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザーに一意の ID を割り当てます。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースの を作成して使用します。 | |
| 8.1.4 | 非アクティブなユーザーアカウントを 90 日以内に削除/無効にします。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 最小特権の原則の実装を支援するために、Amazon CodeBuild プロジェクト環境で特権モードが有効になっていないことを確認してください。Docker API およびコンテナの基盤となるハードウェアへの意図しないアクセスを防ぐため、この設定を無効にする必要があります。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | セキュリティ上のベストプラクティスとして、機密情報を環境変数としてコンテナに渡します。Amazon ECS タスク定義のコンテナ定義で AWS Systems Manager パラメータストアまたは AWS Secrets Manager に保存されている値を参照することで、Amazon Elastic Container Service (ECS) コンテナにデータを安全に挿入できます。次に、機密情報を環境変数として、またはコンテナのログ設定で公開できます。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、 AWS Secrets Manager シークレットで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用した暗号化が必要です。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.3 | パスワード/パスフレーズは、以下を満たす必要があります: • 最低でも 7 文字以上の長さを必要とする。• 数字とアルファベットの両方が含まれている。あるいは、パスワード/パスフレーズは、少なくとも上記で指定されたパラメータと同等の複雑さと強度を有していなければなりません。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.4 | ユーザーのパスワード/パスフレーズは、少なくとも90 日ごとに変更します。 | 組織のポリシーが指定した通り IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.4 | ユーザーのパスワード/パスフレーズは、少なくとも90 日ごとに変更します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.4 | ユーザーのパスワード/パスフレーズは、少なくとも90 日ごとに変更します。 | このルールにより、 AWS Secrets Manager のシークレットでローテーションが有効になります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| 8.2.5 | 個人が過去に使用した 4 つのパスワード/パスフレーズと同じものを、新しいパスワード/パスフレーズとして送信することを許可しないでください。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.3.1 | 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 8.3.1 | 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 8.3.1 | 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 8.3.1 | 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACLs で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、Security AWS CodeBuild プロジェクトのログ記録が有効になっています。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、Security AWS CodeBuild プロジェクトのログ記録が有効になっています。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、Security AWS CodeBuild プロジェクトのログ記録が有効になっています。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、Security AWS CodeBuild プロジェクトのログ記録が有効になっています。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、Security AWS CodeBuild プロジェクトのログ記録が有効になっています。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、Security AWS CodeBuild プロジェクトのログ記録が有効になっています。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.6 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.2.6 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.6 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACLs で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、Security AWS CodeBuild プロジェクトのログ記録が有効になっています。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.5 | 監査証跡を改ざんできないように保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 10.5 | 監査証跡を改ざんできないように保護します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 10.5 | 監査証跡を改ざんできないように保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 10.5.2 | 監査証跡ファイルを不正な変更から保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 10.5.2 | 監査証跡ファイルを不正な変更から保護します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 10.5.2 | 監査証跡ファイルを不正な変更から保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内の API コールアクティビティの詳細が提供されます AWS アカウント。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| 10.5.5 | ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、アラートを生成しなくても既存のログデータが変更されないようにします(ただし、新しいデータを追加してもアラートは生成しません)。 | AWS CloudTrail ログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 10.5.5 | ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、アラートを生成しなくても既存のログデータが変更されないようにします(ただし、新しいデータを追加してもアラートは生成しません)。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| 10.7 | 監査証跡の履歴を少なくとも 1 年間保持し、最低 3 ヶ月はすぐに分析できるようにする (例: オンライン、アーカイブ、またはバックアップから復元可能)。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| 10.7 | 監査証跡の履歴を少なくとも 1 年間保持し、最低 3 ヶ月はすぐに分析できるようにする (例: オンライン、アーカイブ、またはバックアップから復元可能)。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| 11.2.3 | 内部スキャンと外部スキャンを実行し、大幅な変更があった場合は必要に応じて再スキャンします。スキャンは資格のある担当者が実行する必要があります。 | Amazon Elastic Container Repository (ECR) イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。 | |
| 11.4 | 侵入検知/防御テクノロジーを使用して、ネットワークへの侵入を検知、防止します。カード会員データ環境の境界およびカード会員データ環境の重要なポイントにおけるすべてのトラフィックを監視し、危殆化の疑いがある場合は担当者に警告します。すべての侵入検知や防止エンジン、ベースライン、シグネチャを常に最新の状態に保ちます。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを識別するための悪意のある IPs と機械学習のリストが含まれます。 | |
| 11.4 | 侵入検知/防御テクノロジーを使用して、ネットワークへの侵入を検知、防止します。カード会員データ環境の境界およびカード会員データ環境の重要なポイントにおけるすべてのトラフィックを監視し、危殆化の疑いがある場合は担当者に警告します。すべての侵入検知や防止エンジン、ベースライン、シグネチャを常に最新の状態に保ちます。 | AWS Network Firewall ポリシーは、ファイアウォールが Amazon VPC 内のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。 | |
| 11.5 | 重要なシステムファイル、設定ファイル、コンテンツファイルの不正な変更 (変更、追加、削除を含む) を担当者に警告するための変更検出メカニズム (例: ファイル整合性監視ツール) を導入し、少なくとも週に一度は重要ファイルの比較を実行するようにソフトウェアを構成します。 | AWS CloudTrail ログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 11.5 | 重要なシステムファイル、設定ファイル、コンテンツファイルの不正な変更 (変更、追加、削除を含む) を担当者に警告するための変更検出メカニズム (例: ファイル整合性監視ツール) を導入し、少なくとも週に一度は重要ファイルの比較を実行するようにソフトウェアを構成します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 |
テンプレート
テンプレートは、GitHub の「Operational Best Practices for PCI DSS 3.2.1
