Payment Card Industry Data Security Standard (PCI DSS) - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Payment Card Industry Data Security Standard (PCI DSS)

Security Hub の Payment Card Industry Data Security Standard (PCI DSS) は、カード所有者データの処理について、一連の AWS セキュリティのベストプラクティスを提供します。この標準を使用して、カード所有者データを処理するリソースのセキュリティ上の脆弱性を発見できます。Security Hub は現在、アカウントレベルでコントロールをスコープします。カード所有者データを保存、処理、送信するリソースを持つすべてのアカウントで、これらのコントロールを有効にすることをお勧めします。

この標準は Security AWS Assurance Services LLC (AWS SAS) によって検証されました。SAS は、PCI DSS ガイダンスと PCI DSS Security Standards Council (QSAs ) のチームです。 AWS SAS は、自動チェックが顧客による PCI DSS 評価の準備に役立つことを確認しました。

このページには、セキュリティコントロール ID とタイトルが一覧表示されます。 AWS GovCloud (US) Region および中国リージョンでは、標準固有のコントロール IDs とタイトルが使用されます。セキュリティコントロール ID とタイトルを標準固有のコントロール ID とタイトルにマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。

PCI DSS に適用されるコントロール

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要があります

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります

〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリ URLsには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

〔GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.10] IAM ユーザーのパスワードポリシーには強力な AWS Config設定が必要です

[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.3] Lambda 関数は VPC 内に存在する必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.2] RDS DB インスタンスは、 PubliclyAccessible AWS Config設定によって決定されるパブリックアクセスを禁止する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります

[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります

[S3.3] S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります

[S3.5] S3 汎用バケットでは、SSL を使用するリクエストが必要です

[S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります

〔SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできません

[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります