Payment Card Industry Data Security Standard (PCI DSS) - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Payment Card Industry Data Security Standard (PCI DSS)

Security Hub の Payment Card Industry Data Security Standard (PCI DSS) は、カード所有者データの処理について、一連の AWS セキュリティのベストプラクティスを提供します。この標準を使用して、カード所有者データを処理するリソースのセキュリティ上の脆弱性を発見できます。Security Hub は現在、アカウントレベルでコントロールをスコープします。カード所有者データを保存、処理、送信するリソースを持つすべてのアカウントで、これらのコントロールを有効にすることをお勧めします。

この標準は、AWS Security Assurance Services LLC (AWS SAS) によって検証されました。このチームは、PCI DSS Security Standards Council (PCI SSC) によって PCI DSS ガイダンスと評価の提供を認められた、認定セキュリティ評価機関 (QSA) です。AWS自動チェックがお客様の PCI DSS 評価の準備に役立つことは SAS によって確認されています。

このページには、セキュリティコントロール ID とタイトルが一覧表示されます。AWS GovCloud (US) Region および中国リージョンでは、標準固有のコントロール ID とタイトルが使用されます。セキュリティコントロール ID とタイトルを標準固有のコントロール ID とタイトルにマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。

PCI DSS に適用されるコントロール

〔AutoScaling.1] Classic Load Balancer に関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェックを使用する必要があります

〔CloudTrail.2] 保管時の CloudTrail 暗号化が有効になっている必要があります

〔CloudTrail.3] 有効に CloudTrail する必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLs には、機密性の高い認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキストの認証情報を含めないでください

[Config.1]AWS Config を有効にする必要があります

[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

〔GuardDuty.1] 有効に GuardDuty する必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.10] IAM ユーザーのパスワードポリシーには強力な AWS Config 設定が必要です

[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

[KMS.4] AWS KMS キーのローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.3] Lambda 関数は VPC 内に存在する必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセスできないようにする必要があります

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.2] RDS DB インスタンスは、 PubliclyAccessible AWS Config設定によって決定されるパブリックアクセスを禁止する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[S3.2] S3 バケットではパブリック読み取りアクセスを禁止する必要があります

[S3.3] S3 バケットはパブリック書き込みアクセスを禁止する必要があります

[S3.5] S3 バケットでは、Secure Socket Layer を使用するためのリクエストの要求が必要です。

[S3.7] S3 バケットでクロスリージョンレプリケーションを有効にする必要があります

〔SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[SSM.1] Amazon EC2 インスタンスは AWS Systems Manager により管理される必要があります

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります