Amazon Elastic Compute Cloud コントロール

これらのコントロールは Amazon EC2 リソースに関連しています。

これらのコントロールは、すべての AWS リージョンで使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 非常事態

リソースタイプ : AWS::::Account

AWS Config ルール : ebs-snapshot-public-restorable-check

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Elastic Block Store スナップショットがパブリックではないかどうかをチェックします。Amazon EBS スナップショットを誰でも復元できる場合、コントロールは失敗します。

EBS スナップショットは、特定の時点の EBS ボリュームのデータを Amazon S3 にバックアップするために使用されます。スナップショットを使用して、EBS ボリュームを以前の状態に復元できます。スナップショットのパブリックへの共有は滅多に認められていません。一般的に、スナップショットを公開する決定は、誤って行われたか、影響を完全に理解せずに行われています。このチェックは、そのような共有がすべて完全に計画され、意図的であったことを確認するのに役立ちます。

パブリック EBS スナップショットをプライベートにするには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「スナップショットの共有」を参照してください。[アクション、権限の変更] で、[非公開] を選択します。

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS AWS Foundations Benchmark v1.2.0/4.3、CIS AWS Foundations Benchmark v1.4.0/5.3、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : vpc-default-security-group-closed

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、VPC のデフォルトのセキュリティグループがインバウンドとアウトバウンドのいずれかのトラフィックを許可しているかをチェックします。セキュリティグループがインバウンドまたはアウトバウンドのトラフィックを許可している場合、このコントロールは失敗します。

デフォルトのセキュリティグループのルールでは、同じセキュリティグループに割り当てられているネットワークインターフェイス (および関連するインスタンス) からのすべてのアウトバウンドトラフィックとインバウンドトラフィックを許可します。デフォルトのセキュリティグループを使用しないことをお勧めします。デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルール設定を変更して、インバウンドトラフィックとアウトバウンドトラフィックを制限する必要があります。これにより、デフォルトのセキュリティグループが EC2 インスタンスなどのリソースに対して誤って設定されている場合に、意図しないトラフィックが防止されます。

修正

この問題を解決するには、まず新しい最小特権のセキュリティグループを作成することから始めます。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。次に、新しいセキュリティグループを EC2 インスタンスに割り当てます。手順については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「インスタンスのセキュリティグループの変更」を参照してください。

新しいセキュリティグループをリソースに割り当てた後、デフォルトのセキュリティグループからすべてのインバウンドルールとアウトバウンドルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの削除」を参照してください。

[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度: 中

リソースタイプ : AWS::EC2::Volume

AWS Config ルール : encrypted-volumes

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、添付済みの EBS ボリュームが暗号化されているかどうかをチェックします。このチェックに合格するには、EBS ボリュームが使用中であり、暗号化されている必要があります。EBS ボリュームが添付済みでない場合、このチェックは対象外です。

EBS ボリュームの機密データのセキュリティを強化するには、保管中の EBS 暗号化を有効にする必要があります。Amazon EBS 暗号化は、EBS リソースに対して、独自のキー管理インフラストラクチャの構築、保守、および保護を必要としない、簡単な暗号化ソリューションを提供します。暗号化されたボリュームとスナップショットを作成する際に、KMS キーを使用します。

Amazon EBS 暗号化の詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Amazon EBS 暗号化」を参照してください。

修正

暗号化されていない既存のボリュームまたはスナップショットを暗号化する直接的な方法はありません。新しいボリュームまたはスナップショットは、作成時にのみ暗号化できます。

暗号化をデフォルトで有効にした場合、Amazon EBS は Amazon EBS 暗号化のデフォルトキーを使用して、作成された新しいボリュームまたはスナップショットを暗号化します。デフォルトで暗号化を有効にしていない場合でも、個々のボリュームまたはスナップショットを作成するときに暗号化を有効にすることができます。どちらの場合も、Amazon EBS 暗号化のデフォルトキーを上書きし、対称カスタマーマネージドキーを選択できます。

詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Amazon EBS ボリュームの作成」および「Amazon EBS スナップショットのコピー」を参照してください。

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 識別 > インベントリ

重要度: 中

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-stopped-instance

スケジュールタイプ: 定期的

パラメータ:

allowedDays: 30

このコントロールは、許可されている日数よりも長く停止している EC2 インスタンスがあるかどうかをチェックします。EC2 インスタンスは、デフォルトで 30 日である最大許容期間よりも長く停止した場合、このチェックに失敗します。

失敗の結果は、EC2 インスタンスが長期間実行されていないことを示します。これにより、EC2 インスタンスがアクティブに保守 (分析、パッチ適用、更新) されていないため、セキュリティリスクが発生します。後に起動した場合、適切なメンテナンスがされていないため、AWS 環境で予期しない問題が発生する可能性があります。EC2 インスタンスを非実行状態で長期間安全に維持するには、メンテナンスのために定期的に起動し、メンテナンス後に停止します。これは自動化されたプロセスであることが理想的です。

修正

30 日間使用されなかった場合は、EC2 インスタンスを終了することをお勧めします。操作方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「インスタンスの終了」を参照してください。

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.9、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、CIS AWS Foundations Benchmark v1.4.0/3.9、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::EC2::VPC

AWS Config ルール : vpc-flow-logs-enabled

スケジュールタイプ: 定期的

パラメータ:

trafficType: REJECT

このコントロールは、Amazon VPC フローログが見つかり、VPC に対して有効になっているかどうかをチェックします。トラフィックタイプは Reject に設定されています。

VPC フローログ機能を使用して、VPC のネットワークインターフェイスとの間で行き来する IP アドレストラフィックに関する情報をキャプチャします。フローログを作成すると、そのデータを CloudWatch Logs で表示し、取得できます。コストを削減するために、フローログを Amazon S3 に送信することもできます。

Security Hub では、VPC のパケット拒否のフローログ記録を有効にすることを推奨します。フローログは、VPC を通過するネットワークトラフィックを可視化し、セキュリティワークフロー中の異常なトラフィックを検出したりインサイトを提供できます。

デフォルトでは、レコードには送信元、送信先、プロトコルなど、IP アドレスフローのさまざまなコンポーネントの値が含まれています。ログフィールドの詳細と説明については、「Amazon VPC ユーザーガイド」の「VPC フローログ」を参照してください。

修正

VPC フローログを作成するには、「Amazon VPC ユーザーガイド」の「VPC フローログを作成する」を参照してください。Amazon VPC コンソールを開いたら、[お客様の VPC] を選択します。[フィルター] で、[拒否] または [すべて] を選択します。

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

関連する要件: CIS AWS Foundations Benchmark v1.4.0/2.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度: 中

リソースタイプ : AWS::::Account

AWS Config ルール : ec2-ebs-encryption-by-default

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon Elastic Block Store (Amazon EBS) でアカウントレベルの暗号化がデフォルトで有効になっているかどうかをチェックします。アカウントレベルの暗号化が有効になっていない場合、コントロールは失敗します。

アカウントで暗号化が有効になっている場合、Amazon EBS ボリュームとスナップショットのコピーは保管中に暗号化されます。これにより、データの保護レイヤーが追加されます。詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「デフォルトで暗号化」を参照してください。

次のインスタンスタイプでは暗号化がサポートされないことに注意してください: R1、C1、および M1。

修正

Amazon EBS ボリュームのデフォルト暗号化の設定については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Amazon EBS 暗号化」および「デフォルトでの暗号化」を参照してください。

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

関連する要件: NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

カテゴリ: 保護 > ネットワークセキュリティ

重要度: 高

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-imdsv2-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、EC2 インスタンスメタデータバージョンが、インスタンスメタデータサービスバージョン 2 (IMDSv2) で設定されているかどうかをチェックします。IMDSv2 で HttpTokens が必須に設定されている場合、コントロールは成功します。HttpTokens が optional に設定されている場合、コントロールは失敗します。

インスタンスメタデータは、実行中のインスタンスを設定または管理するために使用します。IMDS は、一時的で頻繁にローテーションされる認証情報へのアクセスを提供します。これらの認証情報を使用すると、機密認証情報を手動でまたはプログラムでインスタンスにハードコーディングや、配信する必要がなくなります。IMDS は、すべての EC2 インスタンスにローカルに添付されます。これは、特別な「リンクローカル」IP アドレス 169.254.169.254 で実行されます。この IP アドレスは、インスタンスで実行されるソフトウェアによってのみアクセスできます。

IMDS のバージョン 2 では、次の種類の脆弱性に対する新しい保護が追加されています。これらの脆弱性は IMDS へのアクセスに利用される可能性があります。

ウェブサイトアプリケーションのファイアウォールを開く
リバースプロキシを開く
サーバー側リクエスト偽造 (SSRF) の脆弱性
レイヤー 3 ファイアウォールおよびネットワークアドレス変換 (NAT) を開く

Security Hub では、EC2 インスタンスを IMDSv2 で設定することを推奨します。

修正

EC2 インスタンスを IMDSv2 で構成するには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「IMDSv2 を必要とする場合の推奨方法」を参照してください。

[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリック IP アドレス

重要度: 高

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-instance-no-public-ip

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、EC2 インスタンスにパブリック IP アドレスがあるかどうかをチェックします。EC2 インスタンスの設定項目に publicIp フィールドが存在する場合、コントロールは失敗します。このコントロールは、IPv4 アドレスにのみ適用されます。

パブリック IPv4 アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してインスタンスを起動すると、EC2 インスタンスはインターネットから到達可能です。プライベート IPv4 アドレスは、インターネットから到達できない IP アドレスです。プライベート IPv4 アドレスは、同じ VPC 内の EC2 インスタンス間または接続されたプライベートネットワークの通信に使用できます。

IPv6 アドレスはグローバルに一意であるため、インターネットから到達できます。ただし、デフォルトではすべてのサブネットで IPv6 アドレス指定属性が false に設定されています。VPC での IPv6 の詳細については、「Amazon VPC ユーザーガイド」の「VPC での IP アドレス指定」を参照してください。

パブリック IP アドレスで EC2 インスタンスを維持する正当なユースケースがある場合は、このコントロールの結果を抑制できます。フロントエンドアーキテクチャオプションの詳細については、「AWS アーキテクチャのブログ」または「This Is My Architecture series (マイアーキテクチャシリーズ)」を参照してください。

修正

デフォルト以外の VPC を使用し、デフォルトでインスタンスがパブリック IP アドレスに割り当てられないようにします。

デフォルトの VPC で EC2 インスタンスを起動すると、パブリック IP アドレスが割り当てられます。EC2 インスタンスをデフォルト以外の VPC で起動すると、サブネット設定によって、パブリック IP アドレスを受信するかどうかが決まります。サブネットには、サブネット内の新しい EC2 インスタンスがパブリック IPv4 アドレスプールからパブリック IP アドレスを受け取るかどうかを判断する属性があります。

EC2 インスタンスから自動で割り当てられたパブリック IP アドレスを手動でインスタンスに関連付ける、または、関連付け解除することはできません。EC2 インスタンスがパブリック IP アドレスを受信するかどうかをコントロールするには、以下のいずれかのの方法を使用します。

サブネットのパブリック IP アドレス指定属性を変更する。詳細については、「Amazon VPC ユーザーガイド」の「サブネットのパブリック IPv4 アドレス指定属性の変更」を参照してください。
起動時にパブリック IP アドレス指定属性機能を有効または無効にします。これにより、サブネットのパブリック IP アドレス指定属性が上書きされます。詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「インスタンス起動時のパブリック IPv4 アドレスの割り当て」を参照してください。

詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「パブリック IPv4 アドレスと外部 DNS ホスト名」を参照してください。

EC2 インスタンスが Elastic IP アドレスに関連付けられている場合、EC2 インスタンスはインターネットからアクセスできます。インスタンスまたはネットワークインターフェイスから Elastic IP アドレスの関連付けをいつでも解除できます。Elastic IP アドレスの関連付けを解除するには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Elastic IP アドレスの関連付けを解除する」を参照してください。

[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします

カテゴリ: 保護 > セキュアなネットワーク設定 > API プライベートアクセス

重要度: 中

リソースタイプ : AWS::EC2::VPC

AWS Config ルール : service-vpc-endpoint-enabled

スケジュールタイプ: 定期的

パラメータ:

serviceName: ec2

このコントロールは、Amazon EC2 のサービスエンドポイントが各 VPC に対して作成しているかどうかをチェックします。VPC に Amazon EC2 サービス用に作成した VPC エンドポイントがない場合、コントロールは失敗します。

このコントロールは、単一のアカウントのリソースを評価します。アカウント外のリソースは記述できません。これは AWS Config と Security Hub ではクロスアカウントチェックを行わないため、アカウント間で共有済みの VPC に関する FAILED 結果が表示されます。Security Hub では、これらの FAILED 結果を抑制することを推奨します。

VPC のセキュリティ体制を強化するために、インターフェイス VPC エンドポイントを使用するように Amazon EC2 を設定できます。インターフェイスエンドポイントは AWS PrivateLink を採用しており、これは Amazon EC2 API オペレーションにプライベートにアクセスすることを可能にするテクノロジーです。これは、VPC と Amazon EC2 間のすべてのネットワークトラフィックを Amazon ネットワークに限定します。エンドポイントは同じリージョンでのみサポートされるため、別のリージョンの VPC とサービス間にエンドポイントを作成することはできません。これにより、他のリージョンへの意図しない Amazon EC2 API コールを防ぐことができます。

Amazon EC2 の VPC エンドポイントの作成の詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 とインターフェイス VPC エンドポイント」を参照してください。

修正

Amazon VPC コンソールから Amazon EC2 へのインターフェイスエンドポイントを作成するには、「AWS PrivateLink ガイド」の「VPC エンドポイントを作成する」を参照してください。[サービス名] で [com.amazonaws.region.ec2] を選択します。

また、エンドポイントポリシーを作成し、VPC エンドポイントにアタッチして Amazon EC2 API へのアクセスを制御することもできます。VPC エンドポイントポリシーを作成する手順については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「エンドポイントポリシーの作成」を参照してください。

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

関連する要件: PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 低

リソースタイプ : AWS::EC2::EIP

AWS Config ルール : eip-attached

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、VPC に割り当てられた Elastic IP (EIP) アドレスが、 EC2 インスタンスまたは使用中の Elastic Network Interface (ENI) にアタッチされているかどうかを確認します。

検出に失敗した場合は、未使用の EC2 EIP がある可能性があります。

これにより、カード所有者データ環境 (CDE) 内の EIP のアセットインベントリを正確な状態に維持できます。

未使用の EIP をリリースするには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Elastic IP アドレスを解放する」を参照してください。

[EC2.13] どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないことをお勧めします

関連する要件: CIS AWS Foundations Benchmark v1.2.0/4.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/2.2.2、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : restricted-ssh

スケジュールタイプ: 変更がトリガーされた場合

セキュリティグループは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。

CIS では、どのセキュリティグループでもポート 22 への無制限の入力アクセスを許可しないことを推奨しています。SSH などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

修正

ポート 22 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの更新」を参照してください。Amazon VPC コンソールでセキュリティグループを選択したら、[アクション、インバウンドルールの編集] を選択します。ポート 22 へのアクセスを許可するルールを削除します。

[EC2.14] どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないことを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/4.2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 高

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : restricted-common-ports

スケジュールタイプ: 変更がトリガーされた場合

関連する AWS Config マネージドルールの名前は restricted-common-ports です。ただし、作成されるルールには名前 restricted-rdp が使用されます。

セキュリティグループは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。

CIS では、どのセキュリティグループでもポート 3389 への無制限の入力アクセスを許可しないことを推奨しています。RDP などのリモートコンソールサービスへの自由な接続を制限することにより、サーバーがリスクにさらされることを軽減できます。

修正

ポート 3389 への進入を禁止するには、VPC に関連付けられている各セキュリティグループにそのようなアクセスを許可するルールを削除します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールの更新」を参照してください。Amazon VPC コンソールでセキュリティグループを選択したら、[アクション、インバウンドルールの編集] を選択します。ポート 3389 へのアクセスを許可するルールを削除します。

[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

カテゴリ: 保護 > ネットワークセキュリティ

重要度: 中

リソースタイプ : AWS::EC2::Subnet

AWS Config ルール : subnet-auto-assign-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Virtual Private Cloud (Amazon VPC) サブネット内のパブリック IP の割り当ての MapPublicIpOnLaunch が FALSE に設定されているかチェックします。フラグが FALSE に設定されている場合、コントロールは成功します。

すべてのサブネットには、サブネット内に作成されたネットワークインターフェイスが自動的にパブリック IPv4 アドレスを受信するかどうかを判断する属性があります。この属性が有効になっているサブネットで起動されるインスタンスには、プライマリアネットワークインターフェイスに割り当てられるパブリック IP アドレスが割り当てられます。

修正

パブリック IP アドレスを割り当てないようにサブネットを設定するには、「Amazon VPC ユーザーガイド」の「サブネットのパブリック IPv4 アドレス指定属性の変更」を参照してください。[パブリック IPv4 アドレスの自動割り当てを有効にする] チェックボックスをオフにします。

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

関連する要件: NIST.800-53.r5 CM-8(1)

カテゴリ: 防止 > ネットワークセキュリティ

重要度: 低

リソースタイプ : AWS::EC2::NetworkAcl

AWS Config ルール : vpc-network-acl-unused-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、未使用のネットワークアクセスコントロールリスト (ACL) があるかどうかをチェックします。

コントロールは、リソース AWS::EC2::NetworkAcl の項目設定をチェックして、ネットワーク ACL の関係を判断します。

ネットワーク ACL の VPC のみの関係の場合、コントロールは失敗します。

他の関係がリスト済みの場合、コントロールは成功します。

修正

未使用のネットワーク ACL を削除する方法については、「Amazon VPC ユーザーガイド」の「ネットワーク ACL の削除」を参照してください。デフォルトのネットワーク ACL またはサブネットに関連付けられた ACL は削除できません。

[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします

関連する要件: NIST.800-53.r5 AC-4(21)

カテゴリ: ネットワークセキュリティ

重要度: 低

リソースタイプ : AWS::EC2::Instance

AWS Config ルール : ec2-instance-multiple-eni-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

Adapterids (オプション) - EC2 インスタンスに添付済みのネットワークインターフェイス ID のリスト

このコントロールは、EC2 インスタンスが複数の Elastic Network Interface (ENI) または Elastic Fabric Adapter (EFA) を使用しているかどうかをチェックします。このコントロールは、単一のネットワークアダプタが使用されている場合に成功します。コントロールには、許可された ENI を識別するためのオプションのパラメータリストが含まれています。Amazon EKS クラスターに属する EC2 インスタンスが複数の ENI を使用している場合も、このコントロールは失敗します。EC2 インスタンスに Amazon EKS クラスターの一部として複数の ENI が必要な場合は、これらのコントロールの検出結果を抑制できます。

複数の ENI の使用は、デュアルホームインスタンス (複数のサブネットを持つインスタンス) を引き起こす可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。

修正

EC2 インスタンスからネットワークインターフェイスをデタッチするには、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「インスタンスからネットワークインターフェイスをデタッチする」を参照してください。

[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定 > セキュリティグループの設定

重要度: 高

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール : vpc-sg-open-only-to-authorized-ports

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

authorizedTcpPorts (オプション) - 無制限のアクセスを許可するポートのコンマ区切りリスト。例: '80, 443'。このルールでは、authorizedTcpPorts のデフォルト値は 80 と 443 です。

このコントロールは、使用中のセキュリティグループが、無制限の着信 SSH トラフィックを許可するかどうかをチェックします。オプションで、ルールは、authorizedTcpPorts パラメータにポート番号がリストされているかどうかをチェックします。

セキュリティグループルールポート番号で無制限の着信トラフィックが許可されているが、ポート番号が authorizedTcpPorts で指定されている場合、コントロールは成功します。authorizedTcpPorts のデフォルト値は 80, 443 です。
セキュリティグループルールポート番号で無制限の着信トラフィックが許可されているが、ポート番号が authorizedTcpPorts 入力パラメータで指定されていない場合、コントロールは失敗します。
パラメータを使用しない場合、無制限のインバウンドルールを持つセキュリティグループに対してコントロールが失敗します。

セキュリティグループは、AWS への入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。セキュリティグループのルールは、最小特権アクセスのプリンシパルに従う必要があります。無制限アクセス (/0 サフィックスを持つ IP アドレス) を使用すると、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティの機会が増えます。

ポートが特別に許可されていない限り、ポートは無制限アクセスを拒否する必要があります。

修正

セキュリティグループを変更するには、「Amazon VPC ユーザーガイド」の「ルールの追加、削除、更新」を参照してください。

[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > 制限付きネットワークアクセス

重要度: 非常事態

リソースタイプ : AWS::EC2::SecurityGroup

AWS Config ルール: vpc-sg-restricted-common-ports (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、指定した高リスクのポートにセキュリティグループの受信 SSH トラフィックがアクセス可能かどうかをチェックします。セキュリティグループ内のルールがこれらのポートへの「0.0.0.0/0」または「::/0」からの入力トラフィックを許可している場合、このコントロールは失敗します。

無制限のアクセス (0.0.0.0/0) では、ハッキング、サービス拒否攻撃、データ損失などの悪意のあるアクティビティの機会が増えます。

セキュリティグループは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを提供します。どのセキュリティグループでも、以下のポートへの無制限の入力アクセスを許可してはいけません。

20、21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
110 (POP3)
135 (RPC)
143 (IMAP)
445 (CIFS)
1433、1434 (MSSQL)
3000 (Go、Node.js、および Ruby のウェブ開発フレームワーク)
3306 (mySQL)
3389 (RDP)
4333 (ahsp)
5000 (Python ウェブ開発フレームワーク)
5432 (postgresql)
5500 (fcp-addr-srvr1)
5601 (OpenSearch Dashboards)
8080 (proxy)
8088 (レガシー HTTP ポート)
8888 (代替 HTTP ポート)
9200 または 9300 (OpenSearch)

従来、PV のゲストは HVM のゲストよりも多くの場合にパフォーマンスが向上しました。ただし、HVM 仮想化の機能強化や HVM AMI で PV ドライバが利用可能になったことにより、このようなパフォーマンスの向上はなくなりました。詳細については、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「Linux AMI 仮想化タイプ」を参照してください。

修正

EC2 インスタンスを新しいインスタンスタイプに更新するには、「Amazon EC2 Linux インスタンス用ユーザーガイド」の「インスタンスタイプを変更する」を参照してください。

[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 高

リソースタイプ: AWS::EC2::LaunchTemplate

AWS Config ルール: ec2-launch-template-public-ip-disabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EC2 起動テンプレートが起動の際にネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっていないかをチェックします。EC2 起動テンプレートがネットワークインターフェイスにパブリック IP アドレスを割り当てる設定になっている場合、またはパブリック IP アドレスを持つネットワークインターフェイスが 1 つ以上ある場合、コントロールは失敗します。

パブリック IP アドレスは、インターネットから到達可能な IP アドレスです。パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースは、インターネットからアクセスできる可能性があります。EC2 リソースへのパブリックアクセスを可能にすべきではありません。ワークロードへの意図しないアクセスが可能になるおそれがあるためです。

修正

EC2 起動テンプレートを更新するには、「Amazon EC2 Auto Scaling ユーザーガイド」の「デフォルトのネットワークインターフェイス設定を変更する」を参照してください。

[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

重要度: 低

リソースタイプ : AWS::EC2::Volume

AWS Config ルール: ebs-resources-protected-by-backup-plan

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon EBS ボリュームがバックアッププランの対象になっているかどうかを評価します。Amazon EBS ボリュームがバックアッププランの対象でない場合、コントロールは失敗します。このコントロールは、in-use 状態にある Amazon EBS ボリュームのみを評価します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。バックアッププランに Amazon EBS ボリュームを含めると、意図しない損失や削除からデータを保護できます。

修正

Amazon EBS ボリュームを AWS Backup バックアッププランに追加するには、「AWS Backup デベロッパーガイド」の「バックアッププランへのリソースの割り当て」を参照してください。

[EC2.29] EC2 インスタンスは VPC で起動することをお勧めします

重要

非推奨 — Security Hub はこのコントロールを廃止し、2023 年 9 月 20 日にすべての標準から削除しました。Amazon EC2 では、EC2-Classic インスタンスが VPC に移行されました。

カテゴリ: 保護 > セキュアなネットワーク設定 > VPC 内のリソース

重要度: 高

リソースタイプ : AWS::EC2::Instance

AWS Config ルール: ec2-instances-in-vpc

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EC2 インスタンスが仮想プライベートクラウド (VPC) で起動されているかどうかをチェックします。EC2-Classic ネットワークで EC2 インスタンスが起動されると、このコントロールは失敗します。

EC2-Classic ネットワークの提供は、2022 年 8 月 15 日に終了しました。EC2-Classic ネットワークモデルはフラットで、起動時にパブリック IP アドレスが割り当てられていました。EC2-VPC ネットワークはスケーラビリティとセキュリティ機能が向上しているため、EC2 インスタンスを起動する場合はデフォルトに設定する必要があります。

修正

インスタンスを EC2-VPC ネットワークに移行する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「EC2-Classic から VPC への移行」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon ECS コントロール

Amazon EC2 Auto Scaling コントロール