Security Hub の PCI DSS v3.2.1
Security Hub の Payment Card Industry Data Security Standard (PCI DSS) は、カード所有者データの処理について、一連の AWS セキュリティのベストプラクティスを提供します。この標準を使用して、カード所有者データを処理するリソースのセキュリティ上の脆弱性を発見できます。Security Hub は現在、アカウントレベルでコントロールをスコープします。カード所有者データを保存、処理、送信するリソースを持つすべてのアカウントで、これらのコントロールを有効にすることをお勧めします。
この標準は、AWS Security Assurance Services LLC (AWS SAS) によって検証されました。このチームは、PCI DSS Security Standards Council (PCI SSC) によって PCI DSS ガイダンスと評価の提供を認められた、認定セキュリティ評価機関 (QSA) です。AWS自動チェックがお客様の PCI DSS 評価の準備に役立つことは SAS によって確認されています。
このページには、セキュリティコントロール ID とタイトルが一覧表示されます。AWS GovCloud (US) Region および中国リージョンでは、標準固有のコントロール ID とタイトルが使用されます。セキュリティコントロール ID とタイトルを標準固有のコントロール ID とタイトルにマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
PCI DSS に適用されるコントロール
[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある
[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります
[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります
[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります
[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください
[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません
[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります
[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります
[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします
[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします
[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします
[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります
[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります
[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります
[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります
[GuardDuty.1] GuardDuty を有効にする必要があります
[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください
[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください
[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません
[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります
[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります
[IAM.9] ルートユーザーに対して MFA を有効にする必要があります
[IAM.10] IAM ユーザーのパスワードポリシーには強力な AWS Config 設定が必要です
[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります
[KMS.4] AWS KMS キーのローテーションを有効にする必要があります
[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります
[Lambda.3] Lambda 関数は VPC 内に存在する必要があります
[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります
[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります
[RDS.1] RDS スナップショットはプライベートである必要があります
[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。
[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります
[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。
[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。
[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります
[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります
[SSM.1] Amazon EC2 インスタンスは AWS Systems Manager により管理される必要があります
[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります