米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5

NIST SP 800-53 Rev. 5 は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、情報システムと重要なリソースの可用性、機密性、完全性の保護に役立ちます。米国連邦政府機関および請負業者は、システムを保護するために NIST SP 800-53 に準拠する必要がありますが、民間企業はサイバーセキュリティリスクを軽減するための指針となるフレームワークとして、自主的に NIST SP 800-53 を使用することができます。

Security Hub は、一部の NIST SP 800-53 要件をサポートするコントロールを提供します。これらのコントロールは、自動化されたセキュリティチェックによって評価されます。Security Hub コントロールは、手動での確認が必要な NIST SP 800-53 の要件をサポートしていません。また、Security Hub コントロールは、各コントロールの詳細に関連する要件としてリストされている、自動化された NIST SP 800-53 の要件のみをサポートします。詳細を表示するには、次のリストからコントロールを選択します。コントロールの詳細に記載されていない関連要件は、現在 Security Hub ではサポートされていません。

他のフレームワークとは異なり、NIST SP 800-53 は、その要件をどのように評価すべきかについて、指示を与えるものではありません。その代わりに、フレームワークはガイドラインを提供しています。また、Security Hub NIST SP 800-53 コントロールは、サービスでガイドラインが理解されていることを示しています。

Security Hub インテグレーションを使用して複数のアカウントを一元管理していて、すべてのアカウントで NIST SP 800-53 AWS Organizations を一括で有効にする場合は、管理者アカウントから Security Hub マルチアカウントスクリプトを実行できます

NIST SP 800-53 Rev. 5 の詳細については、「NIST Computer Security Resource Center」を参照してください。

NIST SP 800-53 Rev. 5 に適用されるコントロール

[Account.1] セキュリティ連絡先情報を提供する必要があります AWS アカウント

[Account.2] AWS アカウント は組織の一部である必要があります AWS Organizations

[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

[ApiGateway.1] API Gateway REST と WebSocket API 実行ロギングを有効にする必要があります

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります

[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります

[APIGateway.8] API Gateway ルートには認証タイプを指定する必要があります

[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

[AppSync.5] AWS AppSync GraphQL API は API キーで認証されるべきではありません

[Athena.1] Athena ワークグループは、保管中に暗号化する必要があります

[AutoScaling.1] クラシックロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェックを使用する必要があります

[AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要がある

[AutoScaling.3] Auto Scaling グループの起動設定では、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように EC2 インスタンスを設定する必要があります

[AutoScaling.4] Auto Scaling グループの起動設定には、メタデータのレスポンスホップ制限が 1 を超えてはいけません

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

[AutoScaling.6] Auto Scaling グループは複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります

[Backup.1] AWS Backup リカバリポイントは保存時に暗号化する必要があります

[CloudFormation.1] CloudFormation スタックはSimple Notification Service (SNS) と統合する必要があります

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.3] CloudFront ディストリビューションは転送時に暗号化を必要とする必要があります。

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションではロギングが有効になっている必要があります

[CloudFront.6] CloudFront ディストリビューションでは WAF が有効になっている必要があります

[CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションは SNI を使用して HTTPS リクエストを処理する必要があります。

[CloudFront.9] CloudFront ディストリビューションはカスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジンの間で廃止予定の SSL プロトコルを使用しないでください。

[CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません

[CloudTrail.1] を有効にして、読み取り/書き込み管理イベントを含むマルチリージョントレイルを少なくとも 1 CloudTrail つ設定する必要があります。

[CloudTrail.2] CloudTrail では保存時の暗号化を有効にする必要があります

[CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail トレイルは Amazon ログと統合する必要があります CloudWatch

[CloudWatch.15] CloudWatch アラームには指定されたアクションが設定されている必要があります

[CloudWatch.16] CloudWatch ロググループは一定期間保持する必要があります

[CloudWatch.17] CloudWatch アラームアクションを有効にする必要があります

[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には、機密性の高い認証情報が含まれていてはなりません。

[CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキストの認証情報が含まれていてはいけません

[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります。

[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはロギング期間が必要です

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください。

[Config.1] AWS Config を有効にする必要があります

[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。

[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

[DMS.9] DMS エンドポイントは SSL を使用する必要があります。

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログをログに公開する必要があります CloudWatch

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

[DynamoDB.2] DynamoDB テーブルではリカバリが有効になっている必要があります point-in-time

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします

[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします

[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします

[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません

[EC2.20] AWS サイト間VPN接続の両方のVPNトンネルが稼働している必要があります

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします

[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします

[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします

[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.5] ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.9] ECS タスク定義にはログ設定が必要です。

[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。

[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります

[EFS.1] Elastic File Systemは、以下を使用して保存中のファイルデータを暗号化するように設定する必要があります AWS KMS

[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります

[ElastiCache.1] ElastiCache Redis クラスターでは自動バックアップが有効になっている必要があります

[ElastiCache.2] ElastiCache Redisキャッシュクラスターの場合、マイナーバージョンのauto アップグレードを有効にする必要があります

[ElastiCache.3] Redis ElastiCache では、レプリケーショングループで自動フェイルオーバーを有効にする必要があります。

[ElastiCache.4] Redis ElastiCache の場合、レプリケーショングループは保存時に暗号化する必要があります

[ElastiCache.5] Redis ElastiCache では、レプリケーショングループは転送中に暗号化する必要があります。

[ElastiCache.6] バージョン 6.0 ElastiCache より前の Redis レプリケーショングループでは Redis AUTH を使用する必要があります。

[ElastiCache.7] ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください。

[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートが有効になっている必要があります

[ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームのアップデートを有効にする必要があります

[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[ELB.2] SSL/HTTPS リスナー搭載のクラシックロードバランサーでは、以下が提供する証明書を使用する必要があります。 AWS Certificate Manager

[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります

[ELB.4] Application Load Balancer は、http ヘッダーを削除するように設定する必要があります

[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります

[ELB.6] Application Load Balancer で削除保護を有効にする必要があります

[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります

[ELB.8] SSL リスナーを使用するクラシックロードバランサーは、長期間有効な定義済みのセキュリティポリシーを使用する必要があります。 AWS Config

[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります

[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

[ELB.16] アプリケーションロードバランサーはウェブ ACL に関連付ける必要があります AWS WAF

[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります

[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] Elasticsearch ドメインエラーのログへのロギングを有効にする必要があります CloudWatch

[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

[ES.8] Elasticsearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります

[EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーをアタッチする必要があります

[EventBridge.4] EventBridge グローバルエンドポイントではイベントレプリケーションが有効になっている必要があります。

[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります

[GuardDuty.1] GuardDuty は有効にする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください

[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください

[KMS.3] AWS KMS keys は意図せずに削除しないでください。

[KMS.4] キーローテーションを有効にする必要があります AWS KMS

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.3] Lambda 関数は VPC 内に存在する必要があります

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[Macie.1] Amazon Macie が有効になっているはずです

[Macie.2] Macie の自動機密データ検出を有効にする必要があります

[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります

[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログをログに公開する必要があります CloudWatch

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

[NetworkFirewall.1] Network Firewall は複数のアベイラビリティーゾーンにデプロイする必要があります

[NetworkFirewall.2] Network Firewall ロギングを有効にする必要があります

[NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットの場合はドロップまたはフォワードである必要があります

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットのドロップまたはフォワードである必要があります

[NetworkFirewall.6] ステートレスNetwork Firewall ルールグループは空にしないでください

[NetworkFirewall.9] Network Firewall では、削除保護を有効にする必要があります

[Opensearch.1] OpenSearch ドメインでは、保存時の暗号化が有効になっている必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセス可能であってはなりません。

[Opensearch.3] OpenSearch ドメインは、ノード間で送信されるデータを暗号化する必要があります。

[Opensearch.4] OpenSearch CloudWatch ログへのドメインエラーロギングを有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは監査ログが有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かいアクセス制御が有効になっているはずです。

[Opensearch.8] OpenSearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります。

[Opensearch.10] OpenSearch ドメインには最新のソフトウェアアップデートがインストールされている必要があります。

[PCA.1] AWS Private CA ルート認証局は無効にしてください

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.2] RDS DB インスタンスは、有効期間によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config

[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります

[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります

[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります

[RDS.9] RDS DB CloudWatch インスタンスはログにログを公開する必要がある

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります

[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります

[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります

[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります

[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります

[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります

[RDS.34] Aurora MySQL DB クラスターは監査ログをログに公開する必要がある CloudWatch

[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります

[S3.1] S3 汎用バケットでは、パブリックアクセスのブロック設定が有効になっている必要があります

[S3.2] S3 汎用バケットはパブリックリードアクセスをブロックする必要がある

[S3.3] S3 汎用バケットは公開書き込みアクセスをブロックすべきである

[S3.5] S3 汎用バケットには SSL を使用するリクエストが必要となるはずです。

[S3.6] S3 汎用バケットポリシーでは、他者へのアクセスを制限する必要がある AWS アカウント

[S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用するべき

[S3.8] S3 汎用バケットはパブリックアクセスをブロックすべきである

[S3.9] S3 汎用バケットではサーバーアクセスロギングが有効になっているはずです

[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です

[S3.11] S3 汎用バケットでは、イベント通知が有効になっている必要があります

[S3.12] S3 汎用バケットへのユーザーアクセスの管理には ACL を使用しないでください。

[S3.13] S3 汎用バケットにはライフサイクル設定が必要です

[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります

[S3.15] S3 汎用バケットではオブジェクトロックが有効になっている必要があります

[S3.17] S3 汎用バケットは、保存時に以下のように暗号化する必要があります AWS KMS keys

[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります

[SageMaker.1] Amazon SageMaker ノートブックインスタンスはインターネットに直接アクセスしてはいけません

[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります

[SageMaker.3] SageMaker ユーザーにはノートブックインスタンスへのルートアクセス権があってはなりません。

[SecretsManager.1] Secrets Manager のシークレットでは自動ローテーションが有効になっている必要があります

[SecretsManager.2] 自動ローテーションで設定された Secrets Manager シークレットは正常にローテーションされるはずです

[SecretsManager.3] 未使用のSecrets Manager シークレットを削除する

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

[SNS.1] SNS トピックは、以下を使用して保存時に暗号化する必要があります AWS KMS

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SSM.1] Amazon EC2 インスタンスは以下によって管理される必要があります AWS Systems Manager

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります

[SSM.4] SSM ドキュメントはパブリックにしないでください

[WAF.1] AWS WAF クラシック・グローバル Web ACL ロギングを有効にする必要があります

[WAF.2] AWS WAF クラシックリージョナルルールには少なくとも 1 つの条件が必要です

[WAF.3] AWS WAF クラシック地域ルールグループには少なくとも 1 つのルールが必要です

[WAF.4] AWS WAF クラシックリージョナルウェブ ACL には少なくとも 1 つのルールまたはルールグループが必要です

[WAF.6] AWS WAF クラシックグローバルルールには少なくとも 1 つの条件が必要である

[WAF.7] AWS WAF クラシックグローバルルールグループには少なくとも 1 つのルールが必要です

[WAF.8] AWS WAF クラシックグローバルウェブ ACL には少なくとも 1 つのルールまたはルールグループが必要です。

[WAF.10] AWS WAF ウェブ ACL には少なくとも 1 つのルールまたはルールグループが必要です

[WAF.11] AWS WAF ウェブ ACL ロギングを有効にする必要があります

[WAF.12] AWS WAF ルールではメトリクスを有効にする必要があります CloudWatch