コントロールのカテゴリ - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コントロールのカテゴリ

各コントロールにはカテゴリが割り当てられます。コントロールのカテゴリは、コントロールの適用先のセキュリティ機能を反映します。

カテゴリ値には、カテゴリ、カテゴリ内のサブカテゴリ、およびオプションでサブカテゴリ内の分類子が含まれます。例:

  • 識別-インベントリ

  • 保護-転送中のデータの暗号化

ここでは、使用可能なカテゴリ、サブカテゴリ、および分類子の説明を示します。

Identify

システム、アセット、データ、機能に対するサイバーセキュリティのリスクを管理するための組織の理解を深めます。

インベントリ

サービスは正しいリソースタグ付け戦略を実装していますか? タグ付け戦略にはリソース所有者が含まれていますか?

どのようなリソースをサービスで使用していますか? これらは、このサービスの承認されたリソースですか?

承認されたインベントリへのアクセスは可能ですか? たとえば、Amazon EC2 Systems Manager などのサービスを使用していますか、AWS Service Catalog?

ログ記録

サービスに関連するすべてのログ記録を安全に有効化していますか? ログファイルの例は次のとおりです。

  • Amazon VPC フローログ

  • Elastic Load Balancing のアクセスログ

  • Amazon CloudFront のログ

  • Amazon CloudWatch Logs

  • Amazon Relational Database Service ログ記録

  • Amazon OpenSearch Serviceインデックスログが遅い

  • X 線トレース

  • AWS Directory Service ログ

  • AWS Configアイテム

  • スナップショット

Protect

重要なインフラストラクチャサービスの提供と安全なコーディング手法を確保するための適切な保護策を開発および実施します。

安全なアクセス管理

サービスは IAM ポリシーまたはリソースポリシーで最小特権プラクティスを使用していますか?

パスワードとシークレットは十分に複雑ですか? 適切に更新していますか?

サービスで多要素認証 (MFA) を使用していますか?

サービスはルートアカウントを回避しますか?

リソースベースのポリシーはパブリックアクセスを許可しますか?

セキュアなネットワーク設定

サービスは、パブリックおよび安全でないリモートネットワークアクセスを回避しますか?

サービスは VPC を適切に使用していますか? たとえば、ジョブは VPC で実行する必要がありますか?

サービスは、機密性の高いリソースを適切にセグメント化および分離しますか?

データ保護

保管時のデータの暗号化 — サービスは保管時にデータは暗号化しますか?

転送中のデータの暗号化 — サービスは転送中のデータを暗号化しますか?

データの整合性 — サービスはデータの整合性を検証しますか?

データの削除保護 — サービスはデータの誤削除を防止しますか?

データ管理/使用状況 — Amazon Macie などのサービスを使用して、機密データの場所を追跡していますか?

API の保護

サービスは使用しますかAWS PrivateLinkサービス API オペレーションを保護するには?

保護サービス

適切な保護サービスが提供されていますか? 保護サービスは正しい範囲をカバーしていますか?

保護サービスは、サービスに対する攻撃や侵害を回避するのに役立ちます。における保護サービスの例AWSincludeAWS Control Tower,AWS WAF,AWS Shield Advanced、Vanta、Secrets Manager、IAM アクセスアナライザー、AWS Resource Access Manager。

安全な開発

安全なコーディング手法を使用していますか?

Open Web Application Security Project (OWASP) Top 10 などの脆弱性を避けていますか?

Detect

サイバーセキュリティイベントの発生を特定するための適切なアクティビティを開発および実施します。

検出サービス

正しい検出サービスが提供されていますか?

保護サービスは正しい範囲をカバーしていますか?

の例AWS検出サービスには Amazon GuardDuty、AWS Security Hub、Amazon Inspector、AmazonDetective、Amazon CloudWatch Alarms、AWS IoT Device Defender, およびAWS Trusted Advisor。

Respond

検出されたサイバーセキュリティイベントに関するアクションを実行するための適切なアクティビティを開発および実施します。

対応アクション

セキュリティイベントに迅速に対応していますか?

重要または重大度が高い検出結果が実際にありますか?

法医学

サービスの法医学データを安全に取得できますか? たとえば、真陽性の検出結果に関連付けられた Amazon EBS スナップショットを取得していますか?

法医学アカウントを設定していますか?

Recover

耐障害性に関する計画を保持し、サイバーセキュリティイベントで損なわれた機能やサービスを復元するための適切なアクティビティを開発および実施します。

耐障害性

サービスの設定は、正常なフェイルオーバー、伸縮自在なスケーリング、高可用性をサポートしていますか?

バックアップを確立していますか?