米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5

NIST SP 800-53 Rev. 5 は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、情報システムと重要なリソースの可用性、機密性、完全性の保護に役立ちます。米国連邦政府機関および請負業者は、システムを保護するために NIST SP 800-53 に準拠する必要がありますが、民間企業はサイバーセキュリティリスクを軽減するための指針となるフレームワークとして、自主的に NIST SP 800-53 を使用することができます。

Security Hub は、一部の NIST SP 800-53 要件をサポートするコントロールを提供します。これらのコントロールは、自動化されたセキュリティチェックによって評価されます。Security Hub コントロールは、手動での確認が必要な NIST SP 800-53 の要件をサポートしていません。また、Security Hub コントロールは、各コントロールの詳細に関連する要件としてリストされている、自動化された NIST SP 800-53 の要件のみをサポートします。詳細を表示するには、次のリストからコントロールを選択します。コントロールの詳細に記載されていない関連要件は、現在 Security Hub ではサポートされていません。

他のフレームワークとは異なり、NIST SP 800-53 は、その要件をどのように評価すべきかについて、指示を与えるものではありません。その代わりに、フレームワークはガイドラインを提供しています。また、Security Hub NIST SP 800-53 コントロールは、サービスでガイドラインが理解されていることを示しています。

Security Hub と AWS Organizations との統合を使用して複数のアカウントを一元管理しており、そのすべてのアカウントで NIST SP 800-53 を一括で有効にする場合、管理者アカウントで Security Hub マルチアカウントスクリプトを使用できます。

NIST SP 800-53 Rev. 5 の詳細については、「NIST Computer Security Resource Center」を参照してください。

NIST SP 800-53 Rev. 5 に適用されるコントロール

[Account.1]AWS アカウント について、セキュリティの連絡先情報を提供する必要があります

[Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります

[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります

[APIGateway.8] API Gateway ルートには認証タイプを指定する必要があります

[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

〔AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください

[Athena.1] Athena ワークグループは、保管中に暗号化する必要があります

〔AutoScaling.1] Classic Load Balancer に関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェックを使用する必要があります

〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります

〔AutoScaling.3] Auto Scaling グループの起動設定は、EC2 インスタンスがインスタンスメタデータサービスバージョン 2 (IMDSv2) を要求するように設定する必要があります

〔AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります

[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

〔CloudFormation.1] CloudFormation スタックは Simple Notification Service (SNS) と統合する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションでは、転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーを設定する必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録が有効になっている必要があります

〔CloudFront.6] CloudFront ディストリビューションでは WAF が有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用して HTTPS リクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションはカスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨の SSL プロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしないようにする必要があります

〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含むマルチリージョン証跡を少なくとも 1 つ有効にして設定する必要があります

〔CloudTrail.2] 保管時の CloudTrail 暗号化が有効になっている必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudWatch.15] CloudWatch アラームには指定されたアクションが設定されている必要があります

〔CloudWatch.16] CloudWatch ロググループは指定された期間保持する必要があります

〔CloudWatch.17] CloudWatch アラームアクションを有効にする必要があります

〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLs には、機密性の高い認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキストの認証情報を含めないでください

〔CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録AWS Config設定が必要です

〔CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

[Config.1]AWS Config を有効にする必要があります

[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。

[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

[DMS.9] DMS エンドポイントは SSL を使用する必要があります。

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

[DynamoDB.2] DynamoDB テーブルでは point-in-time 復旧が有効になっている必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします

[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします

[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします

[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします

[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします

[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします

[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.5] ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.9] ECS タスク定義にはログ設定が必要です。

[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。

[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります

[EFS.1] Elastic File System は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります

[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります

〔ElastiCache.1] ElastiCache Redis クラスターでは、自動バックアップが有効になっている必要があります

〔ElastiCache.2] Redis キャッシュクラスター ElastiCache では、マイナーバージョンの自動アップグレードを有効にする必要があります

〔ElastiCache.3]Redis レプリケーショングループ ElastiCache では、自動フェイルオーバーを有効にする必要があります

〔ElastiCache.4] ElastiCache の場合、Redis レプリケーショングループは保管中に暗号化する必要があります

〔ElastiCache.5] ElastiCache の場合、Redis レプリケーショングループは転送中に暗号化する必要があります

〔ElastiCache.6] バージョン 6.0 より前の Redis レプリケーショングループ ElastiCache では、Redis AUTH を使用する必要があります

〔ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります

[ELB.4] Application Load Balancer は、http ヘッダーを削除するように設定する必要があります

[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります

[ELB.6] Application Load Balancer で削除保護を有効にする必要があります

[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります

[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な AWS Config 設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります

[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

[ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります

[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります

[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

[ES.8] Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります

〔GuardDuty.1] 有効に GuardDuty する必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください

[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください

[KMS.3] AWS KMS keys キーを意図せずに削除してはいけません

[KMS.4] AWS KMS キーのローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.3] Lambda 関数は VPC 内に存在する必要があります

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[Macie.1] Macie を有効にする必要があります

[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります

[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります

〔NetworkFirewall.2] Network Firewall のログ記録を有効にする必要があります

〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります

〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送する必要があります

〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります

〔NetworkFirewall.6] ステートレス Network Firewall ルールグループを空にしないでください

〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護が有効になっている必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできないようにする必要があります

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは、監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります

[PCA.1] AWS Private CA ルート認証機関は無効にする必要があります

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.2] RDS DB インスタンスは、 PubliclyAccessible AWS Config設定によって決定されるパブリックアクセスを禁止する必要があります

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります

[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります

[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります

[RDS.9] RDS DB インスタンスはログを CloudWatch Logs に発行する必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります

[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります

[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります

[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります

[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります

[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります

[RDS.34] Aurora MySQL DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[S3.2] S3 バケットではパブリック読み取りアクセスを禁止する必要があります

[S3.3] S3 バケットはパブリック書き込みアクセスを禁止する必要があります

[S3.5] S3 バケットでは、Secure Socket Layer を使用するためのリクエストの要求が必要です。

[S3.6] バケットポリシー内で別の AWS アカウント に付与された S3 許可は制限する必要があります

[S3.7] S3 バケットでクロスリージョンレプリケーションを有効にする必要があります

[S3.8] S3 パブリックアクセスブロック設定は、バケットレベルで有効にする必要があります

[S3.9] S3 バケットサーバーアクセスログ記録を有効にする必要があります

[S3.10] バージョニングが有効な S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[S3.11] S3 バケットでは、イベント通知を有効にする必要があります

[S3.12] バケットへのユーザーアクセスを管理用として、S3 アクセスコントロールリスト (ACL) を使用しないでください

[S3.13] S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[S3.14] S3 バケットはバージョニングを使用する必要があります

[S3.15] S3 バケットは Object Lock を使用するように設定する必要があります

[S3.17] S3バケットは、保存時に AWS KMS keys で暗号化する必要があります

[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

〔SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

〔SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります

〔SageMaker.3] ユーザーには SageMaker ノートブックインスタンスへのルートアクセスを許可しないでください

〔SecretsManager.1] Secrets Manager のシークレットでは、自動ローテーションを有効にする必要があります

〔SecretsManager.2] 自動ローテーションが設定されている Secrets Manager シークレットは正常にローテーションする必要があります

〔SecretsManager.3] 未使用の Secrets Manager シークレットを削除する

〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

[SNS.1] SNS トピックは、AWS KMS を使用して保管中に暗号化する必要があります。

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SSM.1] Amazon EC2 インスタンスは AWS Systems Manager により管理される必要があります

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります

[SSM.4] SSM ドキュメントはパブリックにしないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.2] AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です

[WAF.3] AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です

[WAF.4] AWS WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.6] AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です

[WAF.7] AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] AWS WAF Classic グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.10] AWS WAF ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります

[WAF.12] AWS WAFルールでは、 CloudWatch メトリクスが有効になっている必要があります