「PCI-DSS 3.2.1」の運用のベストプラクティス - AWS Config

「PCI-DSS 3.2.1」の運用のベストプラクティス

コンフォーマンスパックは、マネージドまたはカスタムの AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、「Payment Card Industry Data Security Standard (PCI DSS) 3.2.1」と、AWS マネージド Config ルール間のマッピングの例を示します。各 AWS Config ルールが特定の AWS リソースに適用され、1 つ以上の「PCI DSS」によるコントロールに関連付けられます。「PCI DSS」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン: AWS GovCloud (米国東部)、AWS GovCloud (米国西部)、南米 (サンパウロ)、中東 (バーレーン) を除く、コンフォーマンスパックがサポートされているすべての AWS リージョン (リージョンのサポート)

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

netfw-stateless-rule-group-not-empty

AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

netfw-stateless-rule-group-not-empty

AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

netfw-stateless-rule-group-not-empty

AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

netfw-stateless-rule-group-not-empty

AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

netfw-stateless-rule-group-not-empty

AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

netfw-policy-rule-group-associated

AWS Network Firewall ポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

netfw-stateless-rule-group-not-empty

AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

opensearch-in-vpc-only

Amazon OpenSearch Service のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の Amazon OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイス、そして VPN 接続を必要とせずに、Amazon OpenSearch と Amazon VPC 内にある他のサービスの間での安全な通信が可能になります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
2.1 ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。

rds-cluster-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Relational Database Service (Amazon RDS) データベースクラスターのアタックサーフェスを減らすことができます。
2.1 ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。

rds-instance-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Relational Database Service (Amazon RDS) データベースインスタンスのアタックサーフェスを減らすことができます。
2.1 ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。

redshift-default-admin-check

デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Redshift クラスターのアタックサーフェスを減らすことができます。
2.1 ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。

redshift-default-db-name-check

デフォルトの名前は一般に知られているため、設定時に変更する必要があります。Amazon Redshift クラスターのデフォルトのデータベース名を変更することで、Redshift クラスターの攻撃面を減らすことができます。
2.1 ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
2.1 ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

account-part-of-organizations

AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

ec2-instance-multiple-eni-check

このルールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに複数の ENI があるかどうかを確認します。複数の ENI が存在すると、デュアルホームインスタンス (複数のサブネットを持つインスタンス) を引き起こす可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。Ä¢ インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)、Ä¢ SysAdmin Audit Network Security (SANS) Institute Ä¢・国立標準技術研究所 (NIST)。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

ec2-security-group-attached-to-eni-periodic

このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは ENI にセキュリティグループがアタッチされるようになります。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。Ä¢ インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)、Ä¢ SysAdmin Audit Network Security (SANS) Institute Ä¢・国立標準技術研究所 (NIST)。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
2.2.3 安全ではないと考えられる必要なサービス、プロトコル、またはデーモンには、追加のセキュリティ機能を実装します。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.4 PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。

ec2-security-group-attached-to-eni-periodic

このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは ENI にセキュリティグループがアタッチされるようになります。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。
2.4 PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。

eip-attached

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
2.4 PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
2.4 PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。

vpc-network-acl-unused-check

このルールにより、Amazon Virtual Private Cloud (Amazon VPC) のネットワークアクセスコントロールリストが使用されているかどうかを確認します。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。
3.1 すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。

s3-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
3.1 すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。

バックアップ計画-分-頻度と分保持チェック

データバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルトConfig: 1)、requiredretentionDays (デフォルトConfig: 35)、および requiredFrequencyUnit (デフォルトConfig: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。
3.1 すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。

バックアップ/リカバリ・ポイントの最小保存期間チェック

データバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。
3.1 すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

バックアップ/リカバリ・ポイント暗号化

AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.5.2 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
3.5.2 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
3.5.3 カード会員データの暗号化/復号化に使用されるシークレットキーとプライベートキーは、常に次の形式のいずれか (または複数) で保管してください。• データ暗号化キーと少なくとも同等の強度を持つキー暗号化キーで暗号化し、データ暗号化キーとは別に保管する • 安全な暗号化方式でデバイス (ハードウェア (ホストなど) セキュリティモジュール (HSM) や PTS が承認したポイントオブインタラクションデバイスなど)内にあること • 業界で認められている方法に従って、少なくとも 2 つのフルレングスのキーコンポーネントまたはキーシェアとして使用します。注意: パブリックキーをこれらのいずれかの形式で保存する必要はありません。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
3.5.3 カード会員データの暗号化/復号化に使用されるシークレットキーとプライベートキーは、常に次の形式のいずれか (または複数) で保管してください。• データ暗号化キーと少なくとも同等の強度を持つキー暗号化キーで暗号化し、データ暗号化キーとは別に保管する • 安全な暗号化方式でデバイス (ハードウェア (ホストなど) セキュリティモジュール (HSM) や PTS が承認したポイントオブインタラクションデバイスなど)内にあること • 業界で認められている方法に従って、少なくとも 2 つのフルレングスのキーコンポーネントまたはキーシェアとして使用します。注意: パブリックキーをこれらのいずれかの形式で保存する必要はありません。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.5.3 カード会員データの暗号化/復号化に使用されるシークレットキーとプライベートキーは、常に次の形式のいずれか (または複数) で保管してください。• データ暗号化キーと少なくとも同等の強度を持つキー暗号化キーで暗号化し、データ暗号化キーとは別に保管する • 安全な暗号化方式でデバイス (ハードウェア (ホストなど) セキュリティモジュール (HSM) や PTS が承認したポイントオブインタラクションデバイスなど)内にあること • 業界で認められている方法に従って、少なくとも 2 つのフルレングスのキーコンポーネントまたはキーシェアとして使用します。注意: パブリックキーをこれらのいずれかの形式で保存する必要はありません。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.6.4 関連するアプリケーション・ベンダーまたはキーの所有者によって定義され、業界のベストプラクティスおよびガイドライン(NIST Special Publication 800-57 など)に基づく、暗号期間の終了に達した鍵の 変更 (例えば、定められた期間が経過した後および/または所定の鍵によって一定量の暗号文が生成された後など)。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
3.6.5 キーの完全性が損なわれた場合 (例えば、平文のキーコンポーネントを知っている従業員が退職した場合)、またはキーが危険にさらされている疑いがある場合は、必要と思われるキーの廃棄または交換 (アーカイブ、破棄、取り消しなど)。注意: 廃止または交換された暗号化キーを保存する必要がある場合は、これらの鍵を (キー暗号化キーを使用するなどして) 安全にアーカイブする必要があります。アーカイブされた暗号化キーは、復号化/検証の目的でのみ使用してください。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
3.6.7 暗号化キーの不正な代替の防止

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

acm-certificate-expiration-check

X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

opensearch-https-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

opensearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

elastic-beanstalk-managed-updates-enabled

Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

ecs-fargate-latest-platform-version

セキュリティの更新やパッチは、AWS Fargate のタスクに自動的にデプロイされます。AWS Fargate のプラットフォームのバージョンに影響を与えるセキュリティ上の問題が見つかった場合、AWS はそのプラットフォームバージョンにパッチを適用します。AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するには、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

rds-automatic-minor-version-upgrade-enabled

Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
6.3.2 (手動または自動プロセスのいずれかを使用して) 潜在的なコーディングの脆弱性を特定するために、本番環境または顧客にリリースする前にカスタムコードをレビューします。• コードの変更は、元のコード作成者以外の個人、およびコードレビュー技術と安全なコーディングプラクティスに精通している個人によってレビューされます。• コードレビューにより、コードが安全なコーディングガイドラインに従って開発されていることを確認します。• リリース前に適切な修正が実施されます。• コードレビューの結果は、リリース前に管理者によってレビューおよび承認されます。 (次のページに続く)

ecr-private-image-scanning-enabled

Amazon Elastic Container Repository (ECR) イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

alb-desync-mode-check

HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 軽減モードが有効になっていることを確認してください。HTTP Desync の問題はリクエストスマグリングにつながり、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

api-gw-associated-with-waf

AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

waf-regional-rule-not-empty

AWS WAF に空でないルールがあることを確認します。条件のないルールは、意図しない動作を引き起こす可能性があります。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

waf-regional-rulegroup-not-empty

AWS WAF に空でないルールグループがあることを確認します。空のルールグループは、意図しない動作を引き起こす可能性があります。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

waf-regional-webacl-not-empty

AWS WAF にアタッチされたウェブ ACL には、ウェブリクエストを検査および制御する、ルールおよびルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、WAF による検出または処理なしに通過します。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

ecs-task-definition-nonroot-user

最小特権の原則の実装を支援するため、ルートユーザー以外のあるユーザーに Amazon Elastic Container Service (Amazon ECS) タスク定義へのアクセスが指定されていることを確認します。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

s3-bucket-acl-prohibited

このルールでは、アクセスコントロールリスト (ACL) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。ACL は、AWS Identity and Access Management (IAM) より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムです。ベストプラクティスは、ACL の代わりに、IAM ポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することです。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

ecs-containers-nonprivileged

最小特権の原則の実装を支援するため、Amazon Elastic Container Service (Amazon ECS) タスク定義では拡張された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

ecs-containers-readonly-access

Amazon Elastic Container Service (Amazon ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

efs-access-point-enforce-root-directory

Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

efs-access-point-enforce-user-identity

最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

opensearch-access-control-enabled

Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

ecs-containers-nonprivileged

最小特権の原則の実装を支援するため、Amazon Elastic Container Service (Amazon ECS) タスク定義では拡張された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

ecs-containers-readonly-access

Amazon Elastic Container Service (Amazon ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

efs-access-point-enforce-root-directory

Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

efs-access-point-enforce-user-identity

最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

opensearch-access-control-enabled

Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

ecs-containers-nonprivileged

最小特権の原則の実装を支援するため、Amazon Elastic Container Service (Amazon ECS) タスク定義では拡張された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

ecs-containers-readonly-access

Amazon Elastic Container Service (Amazon ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

efs-access-point-enforce-root-directory

Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

efs-access-point-enforce-user-identity

最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

opensearch-access-control-enabled

Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。
7.2.3 デフォルトの「すべて拒否」設定。

s3-bucket-acl-prohibited

このルールでは、アクセスコントロールリスト (ACL) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。ACL は、AWS Identity and Access Management (IAM) より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムです。ベストプラクティスは、ACL の代わりに、IAM ポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することです。
8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザーに一意の ID を割り当てます。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
8.1.4 非アクティブなユーザーアカウントを 90 日以内に削除/無効にします。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

codebuild-project-environment-privileged-check

最小特権の原則の実装を支援するために、Amazon CodeBuild プロジェクト環境で特権モードが有効になっていないことを確認してください。Docker API およびコンテナの基盤となるハードウェアへの意図しないアクセスを防ぐため、この設定を無効にする必要があります。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

ecs-no-environment-secrets

セキュリティ上のベストプラクティスとして、機密情報を環境変数としてコンテナに渡します。Amazon ECS タスク定義のコンテナ定義で、AWS Systems Manager Parameter Store または AWS Secrets Manager に保存されている値を参照することで、Amazon Elastic Container Service (ECS) コンテナにデータを安全に挿入できます。次に、機密情報を環境変数として、またはコンテナのログ設定で公開できます。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

opensearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

secretsmanager-using-cmk

保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.3 パスワード/パスフレーズは、以下を満たす必要があります: • 最低でも 7 文字以上の長さを必要とする。• 数字とアルファベットの両方が含まれている。あるいは、パスワード/パスフレーズは、少なくとも上記で指定されたパラメータと同等の複雑さと強度を有していなければなりません。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。
8.2.4 ユーザーのパスワード/パスフレーズは、少なくとも 90 日に 1 回変更します。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
8.2.4 ユーザーのパスワード/パスフレーズは、少なくとも 90 日に 1 回変更します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。
8.2.4 ユーザーのパスワード/パスフレーズは、少なくとも 90 日に 1 回変更します。

secretsmanager-rotation-enabled-check

このルールにより、AWS Secrets Manager シークレットでローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
8.2.5 個人が過去に使用した 4 つのパスワード/パスフレーズと同じものを、新しいパスワード/パスフレーズとして送信することを許可しないでください。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。
8.3.1 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
8.3.1 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
8.3.1 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
8.3.1 管理者のアクセス権を持つ担当者の CDE に、コンソール以外のすべてのアクセスに対する多要素認証を組み込みます。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
8.3.2 エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
8.3.2 エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
8.3.2 エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
8.3.2 エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

codebuild-project-logging-enabled

AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

codebuild-project-logging-enabled

AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

codebuild-project-logging-enabled

AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

codebuild-project-logging-enabled

AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

codebuild-project-logging-enabled

AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

codebuild-project-logging-enabled

AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.6 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.6 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.6 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

codebuild-project-logging-enabled

AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

opensearch-audit-logging-enabled

Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.5 監査証跡を改ざんできないように保護します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
10.5 監査証跡を改ざんできないように保護します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
10.5 監査証跡を改ざんできないように保護します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
10.5.2 監査証跡ファイルを不正な変更から保護します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
10.5.2 監査証跡ファイルを不正な変更から保護します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
10.5.2 監査証跡ファイルを不正な変更から保護します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
10.5.3 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。

s3-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
10.5.3 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。

バックアップ計画-分-頻度と分保持チェック

データバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルトConfig: 1)、requiredretentionDays (デフォルトConfig: 35)、および requiredFrequencyUnit (デフォルトConfig: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。
10.5.3 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.5.3 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
10.5.5 ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、アラートを生成しなくても既存のログデータが変更されないようにします(ただし、新しいデータを追加してもアラートは生成しません)。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
10.5.5 ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、アラートを生成しなくても既存のログデータが変更されないようにします(ただし、新しいデータを追加してもアラートは生成しません)。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
10.7 監査証跡の履歴を少なくとも 1 年間保持し、最低 3 ヶ月はすぐに分析できるようにする (例: オンライン、アーカイブ、またはバックアップから復元可能)。

s3-lifecycle-policy-check

Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。
10.7 監査証跡の履歴を少なくとも 1 年間保持し、最低 3 ヶ月はすぐに分析できるようにする (例: オンライン、アーカイブ、またはバックアップから復元可能)。

バックアップ計画-分-頻度と分保持チェック

データバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルトConfig: 1)、requiredretentionDays (デフォルトConfig: 35)、および requiredFrequencyUnit (デフォルトConfig: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。
11.2.3 内部スキャンと外部スキャンを実行し、大幅な変更があった場合は必要に応じて再スキャンします。スキャンは資格のある担当者が実行する必要があります。

ecr-private-image-scanning-enabled

Amazon Elastic Container Repository (ECR) イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性を検証するレイヤーが追加されます。
11.4 侵入検知/防御テクノロジーを使用して、ネットワークへの侵入を検知、防止します。カード会員データ環境の境界およびカード会員データ環境の重要なポイントにおけるすべてのトラフィックを監視し、危殆化の疑いがある場合は担当者に警告します。すべての侵入検知や防止エンジン、ベースライン、シグネチャを常に最新の状態に保ちます。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
11.4 侵入検知/防御テクノロジーを使用して、ネットワークへの侵入を検知、防止します。カード会員データ環境の境界およびカード会員データ環境の重要なポイントにおけるすべてのトラフィックを監視し、危殆化の疑いがある場合は担当者に警告します。すべての侵入検知や防止エンジン、ベースライン、シグネチャを常に最新の状態に保ちます。

netfw-policy-rule-group-associated

AWS Network Firewall ポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。
11.5 重要なシステムファイル、設定ファイル、コンテンツファイルの不正な変更 (変更、追加、削除を含む) を担当者に警告するための変更検出メカニズム (例: ファイル整合性監視ツール) を導入し、少なくとも週に一度は重要ファイルの比較を実行するようにソフトウェアを構成します。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
11.5 重要なシステムファイル、設定ファイル、コンテンツファイルの不正な変更 (変更、追加、削除を含む) を担当者に警告するための変更検出メカニズム (例: ファイル整合性監視ツール) を導入し、少なくとも週に一度は重要ファイルの比較を実行するようにソフトウェアを構成します。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for PCI DSS 3.2.1」で入手できます。