コントロールのカテゴリ
AWS Security Hub の各コントロールには、カテゴリが割り当てられます。コントロールのカテゴリは、コントロールが適用されるセキュリティ機能を反映します。
カテゴリ値には、カテゴリ、カテゴリ内のサブカテゴリ、およびオプションでサブカテゴリ内の分類子が含まれます。例:
-
検出 > 検出サービス > アプリケーションモニタリング
-
識別 > インベントリ
-
保護 > データ保護 > 転送中のデータの暗号化
ここでは、現在使用可能な Security Hub コントロールに適用されるカテゴリ、サブカテゴリ、分類子について説明します。
検出
サイバーセキュリティイベントの発生を特定するための適切なアクティビティを開発および実施します。
- 検出サービス
-
正しい検出サービスが適切な範囲で提供されていますか?
AWS 検出サービスには、Amazon CloudWatch Alarms、Amazon Detective、Amazon GuardDuty、Amazon Inspector、AWS IoT Device Defender、AWS Security Hub、AWS Trusted Advisor などがあります。
-
アプリケーションのモニタリング — 可用性を維持するために、アプリケーションのヘルスがモニタリングされていますか?
-
識別
システム、アセット、データ、機能に対するサイバーセキュリティのリスクを管理するための組織の理解を深めます。
- インベントリ
-
どのようなリソースが使用されているか、またそれらはこのサービスで承認されたリソースか?
タグ付け — リソースの所有者を含め、このサービスに対して正しいリソースタグ付け戦略が実装されていますか?
- ログ記録
-
サービスに関連するすべてのログ記録を安全に有効化していますか? ログファイルの例は次のとおりです。
-
Amazon VPC フローログ
-
Elastic Load Balancing のアクセスログ
-
Amazon CloudFront ログ
-
Amazon CloudWatch のログ
-
Amazon Relational Database Service のログ
-
Amazon OpenSearch Service スローインデックスログ
-
X-Ray トレース
-
AWS Directory Service ログ
-
AWS Config アイテム
-
- リソース設定
-
アタックサーフェスを減らすためにリソースがどのように構成されているかを、理解していますか?
- 脆弱性、パッチ、バージョン管理
-
パッチ適用が必要なリソースや、許容範囲外の脆弱性を持つリソースはありますか? ソフトウェアの最新バージョンを使用していますか?
保護
重要なインフラストラクチャサービスを確実に提供し、安全なコーディング手法を確保するための適切な保護策を開発および実施します。
- 安全なアクセス管理
-
サービスに対して強力な認証および認可ポリシーが適用されていますか?
アクセスコントロール — サービスの IAM ポリシーまたはリソースポリシーは、最小特権のプラクティスに一致していますか?
パスワードレス認証 — ユーザーの認証に、ID、パスワード、アクセスキーではなく、フェデレーティッドアイデンティティまたは IAM ロール が使用されていますか? ネットワーク経由でパスワードを送信する必要をなくすために、Kerberos が使用されていますか?
ルートユーザーのアクセス制限 — ルートユーザーの使用を避けていますか?
機密性の高い API アクションの制限 — サービスに対する機密性の高い API アクション、特に、特権のエスカレーションやリソース共有につながるアクションが、適切に制限されていますか? これは、IAM またはリソースベースのポリシーに応用可能です。
- セキュアなネットワーク設定
-
サービスでは、パブリックアクセスおよび安全ではないリモートネットワークアクセスが回避されていますか?
API プライベートアクセス — AWS API へのプライベートアクセスに対して、VPC エンドポイントが有効になっていますか?
パブリックにアクセスできないリソース — リソースは適切にセグメント化され、分離されていますか?
VPC 内のリソース — ジョブを VPC で実行するよう要求するなど、VPC が適切に使用されていますか?
セキュリティグループの構成 — セキュリティグループは安全に設定されていますか?
- データ保護
-
サービスが使用、送信、または保存するデータを保護する仕組みは用意されていますか?
保管中のデータの暗号化 - サービスで保管中のデータを暗号化していますか?
転送中のデータの暗号化 - サービスで転送中のデータを暗号化していますか?
データの整合性 - サービスでデータの整合性を検証していますか?
-
データの削除防止機能 - サービスでデータの誤削除を防止していますか?
- API の保護
-
サービスはサービス API オペレーションを保護するために AWS PrivateLink を使用していますか?
- 保護サービス
-
適切な保護サービスが提供されていますか? 保護サービスは正しい範囲をカバーしていますか?
保護サービスは、サービスに対する攻撃や侵害を回避するのに役立ちます。AWS の防御サービスには、AWS Control Tower、AWS WAF、AWS Shield Advanced、AWS Network Firewall、AWS Secrets Manager、AWS Identity and Access Management、Access Analyzer、AWS Resource Access Manager などがあります。
- 安全な開発
-
安全なコーディングプラクティスを使用していますか?
-
認証情報がハードコードされていない — 認証情報がお使いのコードにハードコードされていますか?
-
復旧
耐障害性に関する計画を保持し、サイバーセキュリティイベントで損なわれた機能やサービスを復元するための適切なアクティビティを開発および実施します。
- 耐障害性
-
ワークロードは、セキュリティイベントからすばやく回復できますか?
バックアップの有効化 — バックアップを作成し、テストしていますか?
高い可用性 - サービスの構成は、正常なフェイルオーバー、伸縮性のあるスケーリング、高い可用性を可能にするものですか?