「PCI-DSS 3.2.1」の運用のベストプラクティス - AWS Config

「PCI-DSS 3.2.1」の運用のベストプラクティス

コンフォーマンスパックは、マネージドまたはカスタムの AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、「Payment Card Industry Data Security Standard (PCI DSS) 3.2.1」と、AWS マネージド Config ルール間のマッピングの例を示します。各 AWS Config ルールが特定の AWS リソースに適用され、1 つ以上の「PCI DSS」によるコントロールに関連付けられます。「PCI DSS」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:アジアパシフィック (香港)、欧州 (ストックホルム)、中東 (バーレーン) を除くすべてのサポート対象の AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.2 信頼できないネットワークとカード会員データ環境のシステムコンポーネント間の接続を制限する、ファイアウォールとルーターの設定を構築します。注: 「信頼されないネットワーク」とは、審査対象のエンティティに属するネットワークの外部にあるネットワーク、および/または事業体が制御や管理できないネットワークをいいます。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.2.1 カード会員データ環境に必要なインバウンドおよびアウトバウンドトラフィックを制限し、特に他のすべてのトラフィックを拒否します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3 インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を要求することなく可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3.1 DMZ を実装して、パブリックにアクセスできる認可済みのサービス、プロトコル、およびポートを提供するシステムコンポーネント宛てのものだけにインバウンドトラフィックを制限します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3.2 インターネットから DMZ 内の IP アドレスへのインバウンドのインターネットトラフィックを制限します。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3.4 カード所有者データ環境からインターネットへの認可されていないアウトバウンドトラフィックを許可しません。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
1.3.6 カード所有者データを保存するシステムコンポーネント (データベースなど) は、内部ネットワークゾーン内に、DMZ およびその他の信頼されていないネットワークから分離して配置します。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
2.1 ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント、POS端末、決済アプリケーション、SNMP (Simple Network Management Protocol) コミュニティ文字列など、すべてのデフォルトパスワードに適用されます)。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

access-keys-rotated

組織のポリシーに従って IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (PCI DSS デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

account-part-of-organizations

AWS Organizations 内の AWS アカウントを一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
2.2 すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステムハードニング標準の情報源は、以下に限定されるものではありません。・インターネットセキュリティセンター (CIS)・国際標準化機構 (ISO)・SysAdmin Audit Network Security (SANS) Institute・国立標準技術研究所 (NIST)。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

dms-replication-not-public

DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ebs-snapshot-public-restorable-check

EBS スナップショットがパブリックで復元されないようにすることで、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

elasticsearch-in-vpc-only

Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認することで、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

emr-master-no-public-ip

Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) のセキュリティグループは、AWS リソースへの出入口ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理を支援することができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ec2-instances-in-vpc

Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NATデバイス、VPN接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。Amazon VPC 内に存在するドメインは論理的に隔離されているため、パブリックエンドポイントを使用するドメインよりも多くのセキュリティレイヤーが追加されています。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

lambda-function-public-access-prohibited

AWS Lambda 関数へのパブリックアクセスができないようにすることで、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

lambda-inside-vpc

AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは、AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

rds-instance-public-access-check

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

rds-snapshots-public-prohibited

Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

redshift-cluster-public-access-check

Amazon Redshift クラスターが公開されていないことを確認して、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

restricted-common-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-bucket-public-read-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-bucket-public-write-prohibited

権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することで、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないようにすることで、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

subnet-auto-assign-public-ip-disabled

Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループのすべてのトラフィックを制限することで、AWS リソースへのリモートアクセスを制限することができます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることで、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

no-unrestricted-route-to-igw

Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

ssm-document-not-public

AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。
2.2.2 システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。

autoscaling-launch-config-public-ip-disabled

パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

elb-predefined-security-policy-ssl-check

転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.3 コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
2.4 PCI DSS の対象となるシステムコンポーネントのインベントリを管理します。

ec2-instance-managed-by-systems-manager

AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、発行者とバージョン、および環境に関するその他の詳細を提供します。
3.1 すべてのカード会員データ (CHD) の保管について、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを導入することにより、カード会員データの保管を最小限に抑える。・データの保存量と保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限する・カード会員データの特定の保存要件・不要になったデータを安全に削除するプロセス・四半期ごとに、保存期間が規定値を超えたカード会員データを特定し、安全に削除するプロセス。

cw-loggroup-retention-period-check

デフォルトでは、ログデータは CloudWatch Logs に無期限に保存されます。ロググループにログデータを保存する期間を設定します。現在の保持設定より古いデータはすべて自動的に削除されます。各ロググループのログの保持期間は、いつでも変更できます。デフォルトの保持期間は 365 日間です。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

api-gw-cache-enabled-and-encrypted

保管中のデータを保護するには、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

cloudwatch-log-group-encrypted

保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.4 以下のいずれかの方法を用いて、PAN が保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログを含む) を読み取り不能にすること。・強力な暗号に基づく一方向ハッシュ (ハッシュは PAN 全体でなければならない) ・切り捨て(切り捨てられた部分の PAN を置き換えるためにハッシュは使用できない)・インデックストークンおよびパッド(パッドは安全に保管しなければならない)・関連するキー管理プロセスおよび手続きを伴う強力な暗号。注: 悪意のある個人が、PAN の切り捨てバージョンとハッシュ化バージョンの両方にアクセスできれば、オリジナルの PAN データを再構築するのは比較的簡単な作業です。同じ PAN のハッシュ化バージョンとトランケートバージョンが エンティティ 環境に存在する場合、元の PAN を再構築するためにハッシュ化バージョンとトランケートバージョンを関連付けることができないように、追加の管理体制を整える必要があります。

secretsmanager-using-cmk

保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
3.5 保存されたカード会員データを保護するために使用されるキーを、開示や誤用から保護する手順を文書化し、実施します。注: この要件は、保存されたカード会員データの暗号化に使用されるキーに適用されます。また、データ暗号化キーを保護するために使用される暗号化キーのキーにも適用され、そのようなキーは、データ暗号化キーと少なくとも同程度の強度でなければなりません。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
3.5 保存されたカード会員データを保護するために使用されるキーを、開示や誤用から保護する手順を文書化し、実施します。注: この要件は、保存されたカード会員データの暗号化に使用されるキーに適用されます。また、データ暗号化キーを保護するために使用される暗号化キーのキーにも適用され、そのようなキーは、データ暗号化キーと少なくとも同程度の強度でなければなりません。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
3.5.2 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
3.5.2 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
3.6 カード会員データの暗号化に使用される暗号鍵のすべてのキー管理プロセスおよび手順を完全に文書化し、実施します。注: キー管理のための多数の業界標準が、NIST を含む様々なリソースから入手可能で、http://csrc.nist.gov に掲載されています。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
3.6 カード会員データの暗号化に使用される暗号鍵のすべてのキー管理プロセスおよび手順を完全に文書化し、実施します。注: キー管理のための多数の業界標準が、NIST を含む様々なリソースから入手可能で、http://csrc.nist.gov に掲載されています。

kms-cmk-not-scheduled-for-deletion

保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
3.6.4 関連するアプリケーション・ベンダーまたはキーの所有者によって定義され、業界のベストプラクティスおよびガイドライン(NIST Special Publication 800-57 など)に基づく、暗号期間の終了に達した鍵の 変更 (例えば、定められた期間が経過した後および/または所定の鍵によって一定量の暗号文が生成された後など)。

cmk-backing-key-rotation-enabled

キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

acm-certificate-expiration-check

X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elb-predefined-security-policy-ssl-check

転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

redshift-require-tls-ssl

Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
4.1 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンでパブリックなネットワークの例としては、これらに限定されるものではありません。・インターネット・無線技術 (802.11、Bluetooth など)・GSM、CDMA などの携帯電話技術・GPRS (一般パケット無線サービス) ・衛星通信

elbv2-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
5.1.2 悪意のあるソフトウェアの影響をあまり受けていないと考えられるシステムについては、定期的に評価を行い、進化するマルウェアの脅威を特定や評価を行い、そのシステムが引き続きアンチウィルスソフトウェアを必要としないかどうかを確認します。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
6.1 セキュリティ脆弱性情報の信頼できる外部情報源を利用して、セキュリティ脆弱性を特定するプロセスを確立し、新たに発見されたセキュリティ脆弱性に対してリスクランク (例: 「高」「中」「低」など)を割り当てます。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかを確認します。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

rds-automatic-minor-version-upgrade-enabled

Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。
6.2 ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

alb-waf-enabled

アプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
6.6 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法により、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。

api-gw-associated-with-waf

AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。
7.1.1 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.2 特権的ユーザーの ID へのアクセスを、職務の遂行に必要な最小限の権限に制限します。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.1.3 個々の担当者の職階と機能に基づいてアクセス権を割り当てます。

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

emr-kerberos-enabled

Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

ec2-instance-profile-attached

EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。
7.2.1 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ

ecs-task-definition-user-for-host-mode-check

タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことで、すべての AWS Key Management Service のキーに対するブロックされたアクションがポリシーに含まれることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-group-has-users-check

AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つの IAM ユーザーが存在するようにすることで、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいて IAM ユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-inline-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-no-inline-policy-check

AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなく管理ポリシーポリシーを使用することを推奨しています。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」: 「*」に対して「Action」: 「*」が「Effect」: 「Allow」にならないように制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-user-group-membership-check

AWS Identity and Access Management (IAM) は、IAM ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-user-no-policies-check

このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
7.2.2 システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function

iam-policy-no-statements-with-full-access

IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザーに一意の ID を割り当てます。

iam-root-access-key-check

ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することで、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの AWS アカウントを作成して使用し、最小限の機能の原則を組み込みます。
8.1.4 非アクティブなユーザーアカウントを 90 日以内に削除/無効にします。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセスの許可と認可を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

codebuild-project-envvar-awscred-check

AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY_ID が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

codebuild-project-source-repo-url-check

GitHub または Bitbucket のソースレポジトリの URL に、AWS Codebuild プロジェクト環境内の個人用のアクセストークン、ユーザー名、パスワードが含まれていないことを確認します。GitHub または Bitbucket リポジトリへのアクセス認可を付与するには、個人のアクセストークンまたはユーザー名とパスワードではなく、OAuth を使用します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

alb-http-drop-invalid-header-enabled

Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

alb-http-to-https-redirection-check

転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

api-gw-ssl-enabled

Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

elb-acm-certificate-required

機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョン、デプロイします。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

elb-predefined-security-policy-ssl-check

転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号 という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは ELBSecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

s3-bucket-ssl-requests-only

転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

elb-tls-https-listeners-only

Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

elasticsearch-encrypted-at-rest

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

sagemaker-endpoint-configuration-kms-key-configured

保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

sagemaker-notebook-instance-kms-key-configured

保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

secretsmanager-using-cmk

保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。

sns-encrypted-kms

保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
8.2.3 パスワード/パスフレーズは、以下を満たす必要があります: • 最低でも 7 文字以上の長さを必要とする。• 数字とアルファベットの両方が含まれている。あるいは、パスワード/パスフレーズは、少なくとも上記で指定されたパラメータと同等の複雑さと強度を有していなければなりません。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。
8.2.4 ユーザーのパスワード/パスフレーズは、少なくとも 90 日に 1 回変更します。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。
8.2.5 個人が過去に使用した 4 つのパスワード/パスフレーズと同じものを、新しいパスワード/パスフレーズとして送信することを許可しないでください。

iam-password-policy

ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、IAM パスワードポリシーの RequireUppercaseCharacters (PCI DSSデフォルト: false)、RequireLowercaseCharacters (PCI DSS デフォルト: true)、RequireSymbols (PCI DSS デフォルト: false)、RequireNumbers (PCI DSSデフォルト: true)、MinimumPasswordLength (PCI DSSデフォルト: 7)、PasswordReusePrevention (PCI DSSデフォルト: 4)、MaxPasswordAge (PCI DSS デフォルト: 90) を、必要に応じて設定することができます。実際の値には、組織のポリシーを反映する必要があります。
8.3 多要素認証を使用して、個々の管理者によるコンソール以外へのすべてのアクセスと、CDE へのすべてのリモートアクセスを保護します。注: 多要素認証では、3 つの認証方法 (認証方法の説明については要件 8.2 を参照) のうち、最低 2 つを認証に使用することが必要です。1 つの要素を 2 回使用する (例: 2 つの別々のパスワードを使用する) ことは、多要素認証とはみなされません。

iam-user-mfa-enabled

AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべての IAM ユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
8.3 多要素認証を使用して、個々の管理者によるコンソール以外へのすべてのアクセスと、CDE へのすべてのリモートアクセスを保護します。注: 多要素認証では、3 つの認証方法 (認証方法の説明については要件 8.2 を参照) のうち、最低 2 つを認証に使用することが必要です。1 つの要素を 2 回使用する(例えば、2つの別々のパスワードを使用する)ことは、多要素認証とはみなされません。

mfa-enabled-for-iam-console-access

コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認することで、AWS クラウド内のリソースへのアクセスを管理します。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。IAM ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
8.3 多要素認証を使用して、個々の管理者によるコンソール以外へのすべてのアクセスと、CDE へのすべてのリモートアクセスを保護します。注: 多要素認証では、3 つの認証方法 (認証方法の説明については要件 8.2 を参照) のうち、最低 2 つを認証に使用することが必要です。1 つの要素を 2 回使用する(例えば、2つの別々のパスワードを使用する)ことは、多要素認証とはみなされません。

root-account-hardware-mfa-enabled

ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
8.3 多要素認証を使用して、個々の管理者によるコンソール以外へのすべてのアクセスと、CDE へのすべてのリモートアクセスを保護します。注: 多要素認証では、3 つの認証方法 (認証方法の説明については要件 8.2 を参照) のうち、最低 2 つを認証に使用することが必要です。1 つの要素を 2 回使用する(例えば、2つの別々のパスワードを使用する)ことは、多要素認証とはみなされません。

root-account-mfa-enabled

ルートユーザーに対して MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、AWS アカウントで最も権限があるユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、AWS アカウントが侵害されるインシデントを減らすことができます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.1 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.2 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.3 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.4 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.2.5 すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.2.6 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.6 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.2.7 すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.3.1 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.3.2 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントのタイプ

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.3.3 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: 日付と時刻

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.3.4 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。成功または失敗の表示

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.3.5 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: イベントの発生元

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
10.3.6 各イベントのすべてのシステムコンポーネントについて、少なくとも以下の監査証跡エントリを記録します。影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前。

redshift-cluster-configuration-check

保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) とloggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。
10.5.2 監査証跡ファイルを不正な変更から保護します。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
10.5.3 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
10.5.3 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
10.5.3 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.5.4 外部向け技術のログを、安全で集中管理された内部ログサーバーまたはメディアデバイスに書き込みます。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
10.5.4 外部向け技術のログを、安全で集中管理された内部ログサーバーまたはメディアデバイスに書き込みます。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
10.5.4 外部向け技術のログを、安全で集中管理された内部ログサーバーまたはメディアデバイスに書き込みます。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
10.5.4 外部向け技術のログを、安全で集中管理された内部ログサーバーまたはメディアデバイスに書き込みます。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
10.5 監査証跡を改ざんできないように保護します。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
10.5 監査証跡を改ざんできないように保護します。

cloud-trail-encryption-enabled

機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。
10.5 監査証跡を改ざんできないように保護します。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
10.5 監査証跡を改ざんできないように保護します。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
10.5.5 ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、アラートを生成しなくても既存のログデータが変更されないようにします(ただし、新しいデータを追加してもアラートは生成しません)。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
10.7 監査証跡の履歴を少なくとも 1 年間保持し、最低 3 ヶ月はすぐに分析できるようにする (例: オンライン、アーカイブ、またはバックアップから復元可能)。

cw-loggroup-retention-period-check

デフォルトでは、ログデータは CloudWatch Logs に無期限に保存されます。ロググループにログデータを保存する期間を設定します。現在の保持設定より古いデータはすべて自動的に削除されます。各ロググループのログの保持期間は、いつでも変更できます。デフォルトの保持期間は 365 日間です。
10.9 ネットワークリソースとカード会員データへのすべてのアクセスを監視するためのセキュリティポリシーと運用手順が、文書を調査し担当者にインタビューすることによって確認される。・文書化されていること、使用中であること、すべての関係者に周知されていること。 audit-log-policy-exists (Process check) 組織のログ要件を定義する、監査ログの管理ポリシーを確立して維持します。これには監査ログのレビューと保持が含まれますが、これらに限定されるわけではありません。
11.4 侵入検知/防御テクノロジーを使用して、ネットワークへの侵入を検知、防止します。カード会員データ環境の境界およびカード会員データ環境の重要なポイントにおけるすべてのトラフィックを監視し、危殆化の疑いがある場合は担当者に警告します。すべての侵入検知や防止エンジン、ベースライン、シグネチャを常に最新の状態に保ちます。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
11.5 重要なシステムファイル、設定ファイル、コンテンツファイルの不正な変更 (変更、追加、削除を含む) を担当者に警告するための変更検出メカニズム (例: ファイル整合性監視ツール) を導入し、少なくとも週に一度は重要ファイルの比較を実行するようにソフトウェアを構成します。

cloud-trail-log-file-validation-enabled

AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。
12.2 リスクアセスメントプロセスを導入します。・少なくとも年 1 回、および環境に重大な変化があった場合 (買収、合併、移転など)、・重要な資産、脅威、および脆弱性を特定します、・正式かつ文書化されたリスク分析の結果を出します。リスクアセスメント手法の例としては、OCTAVE、ISO 27005、NIST SP 800-30 などがありますが、これらに限定されるものではありません。 annual-risk-assessment-performed (process check) 年に 1 回、組織のリスク評価を実施します。リスク評価は、組織に影響を及ぼす可能性のある特定のリスクや脆弱性の影響を判断するのに役立ちます。
12.6 正式なセキュリティ意識向上プログラムを実施し、すべての担当者にカード会員データのセキュリティポリシーと手順を認識させます。 security-awareness-program-exists (Process Check) 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。
12.10 インシデントレスポンス計画を実施します。システム侵害に即座に対応できるように準備します。 response-plan-exists-maintained (process check) インシデント対応計画が確立および維持され、責任者に配布されていることを確認します。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for PCI DSS 3.2.1」で入手できます。