Security Hub CSPM の NIST SP 800-53 Revision 5

NIST Special Publication 800-53 Revision 5 (NIST SP 800-53 Rev. 5) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、情報システムと重要なリソースの機密性、完全性、可用性を保護するためのセキュリティ要件とプライバシー要件のカタログを提供します。米国連邦政府機関と請負業者は、システムや組織を保護するために、これらの要件に従う必要があります。プライベート組織は、サイバーセキュリティリスクを軽減するための指針となるフレームワークとして、要件を自主的に使用することもできます。このフレームワークとその要件の詳細については、「NIST コンピューターセキュリティリソースセンター」の「NIST SP 800-53 Rev.5」を参照してください。

AWS Security Hub CSPM は、NIST SP 800-53 Revision 5 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス およびリソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-53 Revision 5 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-53 Revision 5 の要件をサポートしていないことに注意してください。

他のフレームワークとは異なり、NIST SP 800-53 Revision 5 フレームワークは、その要件をどのように評価すべきかについて、指示を与えるものではありません。代わりに、フレームワークはガイドラインを提供します。Security Hub CSPM では、NIST SP 800-53 Revision 5 の標準とコントロールは、これらのガイドラインに対する本サービスの解釈を表しています。

標準に適用されるコントロールのリソース記録の設定

検出結果の範囲と精度を最適化するには、AWS Security Hub CSPM で NIST SP 800-53 Revision 5 標準を有効にする前に、AWS Config でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対し有効にすることも忘れないでください。これは主に、変更によってトリガーされるスケジュールタイプを持つコントロール用です。ただし、定期的なスケジュールタイプの一部のコントロールでは、リソースの記録も必要です。リソースの記録が有効になっていない、または正しく設定されていない場合、Security Hub CSPM は適切なリソースを評価できず、標準に適用されるコントロールに対して正確な検出結果を生成できない可能性があります。

Security Hub CSPM が AWS Config でリソース記録を使用する方法については、「Security Hub CSPM の AWS Config の有効化と設定」を参照してください。AWS Config でのリソース記録の設定については、「AWS Config デベロッパーガイド」の「Working with the configuration recorder」を参照してください。

次の表は、Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されるコントロールに記録するリソースのタイプを示しています。

AWS のサービス	リソースタイプ
Amazon API Gateway	AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage
AWS AppSync	AWS::AppSync::GraphQLApi
AWS Backup	AWS::Backup::RecoveryPoint
AWS Certificate Manager (ACM)	AWS::ACM::Certificate
AWS CloudFormation	AWS::CloudFormation::Stack
Amazon CloudFront	AWS::CloudFront::Distribution
Amazon CloudWatch	AWS::CloudWatch::Alarm
AWS CodeBuild	AWS::CodeBuild::Project
AWS Database Migration Service (AWS DMS)	AWS::DMS::Endpoint, AWS::DMS::ReplicationInstance, AWS::DMS::ReplicationTask
Amazon DynamoDB	AWS::DynamoDB::Table
Amazon Elastic Compute Cloud (Amazon EC2)	AWS::EC2::ClientVpnEndpoint, AWS::EC2::EIP, AWS::EC2::Instance, AWS::EC2::LaunchTemplate, AWS::EC2::NetworkAcl, AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::TransitGateway, AWS::EC2::VPNConnection, AWS::EC2::Volume
Amazon EC2 Auto Scaling	AWS::AutoScaling::AutoScalingGroup, AWS::AutoScaling::LaunchConfiguration
Amazon Elastic Container Registry (Amazon ECR)	AWS::ECR::Repository
Amazon Elastic Container Service (Amazon ECS)	AWS::ECS::Cluster, AWS::ECS::Service, AWS::ECS::TaskDefinition
Amazon Elastic File System (Amazon EFS)	AWS::EFS::AccessPoint
Amazon Elastic Kubernetes Service (Amazon EKS)	AWS::EKS::Cluster
AWS Elastic Beanstalk	AWS::ElasticBeanstalk::Environment
Elastic Load Balancing	AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::Listener, AWS::ElasticLoadBalancingV2::LoadBalancer
Amazon Elasticsearch	AWS::Elasticsearch::Domain
Amazon EMR	AWS::EMR::SecurityConfiguration
Amazon EventBridge	AWS::Events::Endpoint, AWS::Events::EventBus
AWS Glue	AWS::Glue::Job
AWS Identity and Access Management (IAM)	AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User
AWS Key Management Service (AWS KMS)	AWS::KMS::Alias, AWS::KMS::Key
Amazon Kinesis	AWS::Kinesis::Stream
AWS Lambda	AWS::Lambda::Function
Amazon Managed Streaming for Apache Kafka (Amazon MSK)	AWS::MSK::Cluster
Amazon MQ	AWS::AmazonMQ::Broker
AWS Network Firewall	AWS::NetworkFirewall::Firewall, AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup
Amazon OpenSearch Service	AWS::OpenSearch::Domain
Amazon Relational Database Service (Amazon RDS)	AWS::RDS::DBCluster, AWS::RDS::DBClusterSnapshot, AWS::RDS::DBInstance, AWS::RDS::DBSnapshot, AWS::RDS::EventSubscription
Amazon Redshift	AWS::Redshift::Cluster, AWS::Redshift::ClusterSubnetGroup
Amazon Route 53	AWS::Route53::HostedZone
Amazon Simple Storage Service (Amazon S3)	AWS::S3::AccessPoint, AWS::S3::AccountPublicAccessBlock, AWS::S3::Bucket
AWS Service Catalog	AWS::ServiceCatalog::Portfolio
Amazon Simple Notification Service (Amazon SNS)	AWS::SNS::Topic
Amazon Simple Queue Service (Amazon SQS)	AWS::SQS::Queue
Amazon EC2 Systems Manager (SSM)	AWS::SSM::AssociationCompliance, AWS::SSM::ManagedInstanceInventory, AWS::SSM::PatchCompliance
Amazon SageMaker AI	AWS::SageMaker::NotebookInstance
AWS Secrets Manager	AWS::SecretsManager::Secret
AWS Transfer Family	AWS::Transfer::Connector
AWS WAF	AWS::WAF::Rule, AWS::WAF::RuleGroup, AWS::WAF::WebACL, AWS::WAFRegional::Rule, AWS::WAFRegional::RuleGroup, AWS::WAFRegional::WebACL, AWS::WAFv2::RuleGroup, AWS::WAFv2::WebACL

標準に適用されるコントロールの特定

次のリストは、NIST SP 800-53 Revision 5 の要件をサポートし、AWS Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されるコントロールを示します。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の関連要件フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。

• [Account.1]AWS アカウント について、セキュリティの連絡先情報を提供する必要があります

• [Account.2] AWS アカウント は AWS Organizations 組織の一部である必要があります

• [ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

• [APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります

• [APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

• [APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

• [APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります

• [APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります

• [APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります

• [APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

• [AppSync.5] AWS AppSync GraphQL API は API キーで認証されるべきではありません

• [AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある

• [AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

• [AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります

• [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

• [AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

• [AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります

• [Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります

• [CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

• [CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

• [CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

• [CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

• [CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります

• [CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

• [CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

• [CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

• [CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

• [CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります

• [CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。

• [CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります

• [PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

• [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります

• [CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージド AWS KMS keys で暗号化する必要があります

• [CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります

• [CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります

• [CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります

• [CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください

• [CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

• [CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

• [CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の AWS Config 設定が必要です

• [Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

• [DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります

• [DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

• [DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。

• [DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

• [DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

• [DMS.9] DMS エンドポイントは SSL を使用する必要があります。

• [DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります

• [DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります

• [DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります

• [DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

• [DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

• [DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

• [DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

• [DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

• [DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

• [DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。

• [DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

• [DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

• [DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります

• [DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

• [EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

• [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

• [EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします

• [EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

• [EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

• [EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

• [EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

• [EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします

• [EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします

• [EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

• [EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

• [EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

• [EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

• [EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします

• [EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします

• [EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません

• [EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

• [EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

• [EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします

• [EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします

• [EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

• [EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします

• [EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります

• [EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります

• [EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります

• [EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります

• [EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります

• [EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります

• [ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

• [ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

• [ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

• [ECR.5] ECR リポジトリはカスタマーマネージド AWS KMS keys で暗号化する必要があります

• [ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

• [ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください

• [ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

• [ECS.4] ECS コンテナは、非特権として実行する必要があります

• [ECS.5] ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。

• [ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

• [ECS.9] ECS タスク定義にはログ設定が必要です。

• [ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。

• [ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります

• [ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません

• [EFS.1] Elastic File System は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります

• [EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

• [EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

• [EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

• [EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません

• [EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります

• [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

• [EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります

• [EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります

• [ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります

• [ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。

• [ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

• [ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります

• [ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります

• [ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります

• [ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください

• [ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

• [ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

• [ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

• [ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

• [ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります

• [ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

• [ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります

• [ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります

• [ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります

• [ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な AWS Config 設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

• [ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります

• [ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

• [ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

• [ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

• [ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

• [ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります

• [ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。

• [EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります

• [EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります

• [EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります

• [EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります

• [ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

• [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

• [ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

• [ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

• [ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

• [ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

• [ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

• [ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります

• [EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります

• [EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります

• [FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります

• [FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります

• [Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの AWS Glue で実行する必要があります

• [GuardDuty.1] GuardDuty を有効にする必要があります

• [IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

• [IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

• [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

• [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

• [IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

• [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

• [IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です

• [IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

• [IAM.9] ルートユーザーに対して MFA を有効にする必要があります

• [IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

• [IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

• [Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

• [KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください

• [KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください

• [KMS.3] AWS KMS keys キーを意図せずに削除してはいけません

• [KMS.4] AWS KMS キーのローテーションを有効にする必要があります

• [Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

• [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

• [Lambda.3] Lambda 関数は VPC 内に存在する必要があります

• [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

• [Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースが有効になっている必要があります

• [Macie.1] Amazon Macie を有効にする必要があります

• [Macie.2] Macie 機密データ自動検出を有効にする必要があります

• [MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります

• [MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります

• [MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります

• [MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

• [MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

• [MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

• [Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

• [Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

• [Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

• [Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

• [Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

• [Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

• [Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります

• [Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

• [Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

• [NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

• [NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります

• [Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

• [NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

• [NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

• [NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください

• [NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります

• [NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります

• [Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

• [Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります

• [Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

• [Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

• [Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

• [Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

• [Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

• [Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります

• [Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります

• [Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です

• [PCA.1] AWS プライベート CA ルート認証機関は無効にする必要があります

• [RDS.1] RDS スナップショットはプライベートである必要があります

• [RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

• [RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

• [RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります

• [RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります

• [RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

• [RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

• [RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります

• [RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります

• [RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

• [RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります

• [RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

• [RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

• [RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

• [RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

• [RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります

• [RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります

• [RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります

• [RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

• [RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

• [RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

• [RDS.27] RDS DB クラスターは保管中に暗号化する必要があります

• [RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

• [RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります

• [RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります

• [RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります

• [RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります

• [PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

• [Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

• [Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

• [Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

• [Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

• [Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

• [Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

• [Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

• [RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージド AWS KMS keys で暗号化する必要があります

• [Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります

• [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

• [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります

• [S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。

• [S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

• [S3.6] S3 汎用バケットポリシーは、他の AWS アカウント へのアクセスを制限する必要があります

• [S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります

• [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

• [S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります

• [S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です

• [S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります

• [S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。

• [S3.13] S3 汎用バケットにはライフサイクル設定が必要です

• [S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります

• [S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります

• [S3.17] S3 汎用バケットは、保管中に AWS KMS keys で暗号化する必要があります

• [S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

• [S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

• [SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

• [SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります

• [SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません

• [SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります

• [SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります

• [SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります

• [SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

• [SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

• [ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります

• [SNS.1] SNS トピックは、AWS KMS を使用して保管中に暗号化する必要があります。

• [SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

• [SSM.1] Amazon EC2 インスタンスは AWS Systems Manager により管理される必要があります

• [SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

• [SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります

• [SSM.4] SSM ドキュメントはパブリックにしないでください

• [Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

• [Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります

• [WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

• [WAF.2] AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です

• [WAF.3] AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です

• [WAF.4] AWS WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

• [WAF.6] AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です

• [WAF.7] AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です

• [WAF.8] AWS WAF Classic グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

• [WAF.10] AWS WAF ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

• [WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります

• [WAF.12] AWS WAF ルールでは CloudWatch メトリクスが有効になっている必要があります