翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールのリファレンス
このコントロールリファレンスには、利用可能な のリストが記載されています。 AWS Security Hub 各コントロールに関する詳細情報へのリンクを含む コントロール。概要テーブルには、コントロールがコントロール ID のアルファベット順に表示されます。Security Hub でアクティブに使用されているコントロールのみがここに含まれています。廃止されたコントロールはこのリストから除外されます。このテーブルには、各コントロールの以下の情報が表示されます。
-
セキュリティコントロール ID – この ID は標準全体に適用され、 AWS のサービス コントロールが関連する および リソース。Security Hub コンソールにはIDs、統合統制結果がアカウントで有効または無効になっているかどうかにかかわらず、セキュリティ統制 が表示されます。ただし、Security Hub の検出結果は、アカウントで統合コントロールの検出結果がオンになっているIDs場合にのみ、セキュリティコントロールを参照します。アカウントで統合統制結果が無効になっている場合、統制結果の一部は標準IDsによって異なります。標準固有のコントロールとセキュリティコントロールIDsのマッピングについてはIDs、「」を参照してください統合がコントロールIDsとタイトルに与える影響。
セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub はコントロールのタイトルや説明を更新することがありますが、コントロールIDsは変わりません。
コントロールIDsは数字をスキップすることがあります。これらは将来のコントロール用のプレースホルダーです。
-
適用される標準 — コントロールが適用される標準を示します。コントロールを選択すると、サードパーティのコンプライアンスフレームワークにおける特定の要件が表示されます。
-
セキュリティコントロールタイトル — このタイトルはあらゆる標準に適用されます。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロールとセキュリティコントロールIDsのマッピングについてはIDs、「」を参照してください統合がコントロールIDsとタイトルに与える影響。
-
重要度 — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub がコントロールの重要度を決定する方法の詳細については、「コントロール結果への重要度の割り当て」を参照してください。
-
スケジュールタイプ — コントロールがいつ評価されるかを示します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
-
カスタムパラメータをサポート — コントロールが 1 つ以上のパラメータのカスタム値をサポートしているかどうかを示します。コントロールを選択すると、パラメータの詳細が表示されます。詳細については、「Security Hub のコントロールパラメータについて」を参照してください。
詳細を表示するコントロールを選択します。コントロールはサービス名のアルファベット順にリストされています。
セキュリティコントロール ID | セキュリティコントロールのタイトル | 適用される標準 | 緊急度 | カスタムパラメータをサポート | スケジュールタイプ |
---|---|---|---|---|---|
Account.1 | のセキュリティ連絡先情報を提供する必要があります AWS アカウント | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
Account.2 | AWS アカウント は の一部である必要があります AWS Organizations 組織 | NIST SP 800-53 改訂 5 | HIGH | |
定期的 |
ACM.1 | インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によるトリガーと定期的なトリガー |
ACM.2 | RSA によって管理される 証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | |
変更によってトリガーされる |
ACM.3 | ACM 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
APIGateway.1 | API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.2 | API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.3 | API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
APIGateway.4 | API ゲートウェイはWAFウェブに関連付ける必要があります ACL | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.5 | API ゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.8 | API ゲートウェイルートは認証タイプを指定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
APIGateway.9 | アクセスログ記録はゲートウェイ API V2 ステージ用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
AppSync.2 | AWS AppSync フィールドレベルのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | |
変更によってトリガーされる |
AppSync.4 | AWS AppSync GraphQL にはタグを付けるAPIs必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
AppSync.5 | AWS AppSync GraphQL はAPIキーで認証APIsしないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
Athena.2 | Athena データカタログにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Athena.3 | Athena ワークグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Athena.4 | Athena ワークグループではログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
AutoScaling.1 | ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
AutoScaling.2 | Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
AutoScaling.3 | Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 を要求するようにインスタンスを設定する必要があります (IMDSv2) | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
Autoscaling.5 | Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
AutoScaling.6 | Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
AutoScaling.9 | EC2 Auto Scaling グループはEC2起動テンプレートを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
AutoScaling.10 | EC2 Auto Scaling グループにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Backup.1 | AWS Backup リカバリポイントは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
バックアップ.2 | AWS Backup 復旧ポイントにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
バックアップ.3 | AWS Backup ボールトにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
バックアップ.4 | AWS Backup レポートプランにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
バックアップ.5 | AWS Backup バックアッププランにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudFormation.2 | CloudFormation スタックにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudFront.1 | CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
CloudFront.3 | CloudFront ディストリビューションには転送中の暗号化が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CloudFront.4 | CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
CloudFront.5 | CloudFront ディストリビューションではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CloudFront.6 | CloudFront ディストリビューションは WAFが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CloudFront.7 | CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CloudFront.8 | CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
CloudFront.9 | CloudFront ディストリビューションはカスタムオリジンへのトラフィックを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CloudFront.10 | CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください。 | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CloudFront.12 | CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
CloudFront.13 | CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | |
変更によってトリガーされる |
CloudFront.14 | CloudFront ディストリビューションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudTrail.1 | CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | 定期的 | |
CloudTrail.2 | CloudTrail は保管時の暗号化を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
CloudTrail.3 | 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | PCI DSS v3.2.1 | HIGH | 定期的 | |
CloudTrail.4 | CloudTrail ログファイルの検証を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | LOW | |
定期的 |
CloudTrail.5 | CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | LOW | |
定期的 |
CloudTrail.6 | CloudTrail ログの保存に使用される S3 バケットがパブリックアクセス可能でないことを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | CRITICAL | |
変更によるトリガーと定期的なトリガー |
CloudTrail.7 | S3 バケットで CloudTrail S3 バケットアクセスのログ記録が有効になっていることを確認する | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudTrail.9 | CloudTrail 証跡にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudWatch.1 | 「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.2 | 不正なAPI呼び出しに対してログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
定期的 |
CloudWatch.3 | なしで マネジメントコンソールのサインインにログメトリクスフィルターとアラームが存在することを確認する MFA | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
定期的 |
CloudWatch.4 | IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.5 | CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.6 | のログメトリクスフィルターとアラームが存在することを確認する AWS Management Console 認証の失敗 | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.7 | 作成した顧客を無効化またはスケジュールされた削除するためのログメトリクスフィルターとアラームが存在することを確認する CMKs | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.8 | S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.9 | のログメトリクスフィルターとアラームが存在することを確認する AWS Config 設定の変更 | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.10 | セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.11 | ネットワークアクセスコントロールリスト (NACL) の変更に対するログメトリクスフィルターとアラームが存在することを確認します。 | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.12 | ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.13 | ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.14 | VPC 変更に対するログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.15 | CloudWatch アラームには、指定されたアクションが設定されている必要があります | NIST SP 800-53 改訂 5 | HIGH | |
変更によってトリガーされる |
CloudWatch.16 | CloudWatch ロググループは、指定された期間保持する必要があります | NIST SP 800-53 改訂 5 | MEDIUM | |
定期的 |
CloudWatch.17 | CloudWatch アラームアクションを有効にする必要があります | NIST SP 800-53 改訂 5 | HIGH | |
変更によってトリガーされる |
CodeArtifact.1 | CodeArtifact リポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CodeBuild.1 | CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によってトリガーされる | |
CodeBuild.2 | CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
CodeBuild.3 | CodeBuild S3 ログは暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
CodeBuild.4 | CodeBuild プロジェクト環境にはログ記録設定が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CodeBuild.7 | CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
Config.1 | AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、v3PCIDSS.2.1 | MEDIUM | 定期的 | |
DataFirehose.1 | Firehose 配信ストリームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
DataSync.1 | DataSync タスクではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
Detective.1 | 検出動作グラフにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.1 | Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
DMS.2 | DMS 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.3 | DMS イベントサブスクリプションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.4 | DMS レプリケーションインスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.5 | DMS レプリケーションサブネットグループにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.6 | DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DMS.7 | DMS ターゲットデータベースのレプリケーションタスクでは、ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DMS.8 | DMS ソースデータベースのレプリケーションタスクでは、ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DMS.9 | DMS エンドポイントは を使用する必要があります SSL | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DMS.10 | DMS Neptune データベースの エンドポイントでは、IAM認証を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
DMS.11 | DMS MongoDB の エンドポイントでは、認証メカニズムを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
DMS.12 | DMS Redis の エンドポイントOSSは TLSを有効にしておく必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
DocumentDB.1 | Amazon DocumentDB クラスターは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
DocumentDB.2 | Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
DocumentDB.3 | Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
DocumentDB.4 | Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DocumentDB.5 | Amazon DocumentDB では、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DynamoDB.1 | DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
DynamoDB.2 | DynamoDB テーブルで point-in-time リカバリを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DynamoDB.3 | DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
DynamoDB.4 | DynamoDB テーブルはバックアッププランに含まれている必要があります | NIST SP 800-53 改訂 5 | MEDIUM | |
定期的 |
DynamoDB.5 | DynamoDB テーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DynamoDB.6 | DynamoDB テーブルで、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DynamoDB.7 | DynamoDB Accelerator クラスターは転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
EC2.1 | EBS スナップショットはパブリックに復元可能であってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
EC2.2 | VPC デフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.3 | アタッチされたEBSボリュームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.4 | 停止したEC2インスタンスは、指定された期間後に削除する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.6 | VPC フローログ記録は、すべての で有効にする必要があります VPCs | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.7 | EBS デフォルトの暗号化を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.8 | EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.9 | EC2 インスタンスにはパブリックIPv4アドレスを指定しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.10 | Amazon EC2 は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.12 | 未使用の は削除EC2EIPsする必要があります | PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
EC2.13 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | HIGH | 変更によるトリガーと定期的なトリガー | |
EC2.14 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください | CIS AWS Foundations Benchmark v1.2.0 | HIGH | 変更によるトリガーと定期的なトリガー | |
EC2.15 | EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.16 | 未使用のネットワークアクセスコントロールリストを削除する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
EC2.17 | EC2 インスタンスは複数の を使用しないでください ENIs | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
EC2.18 | セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.19 | セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によるトリガーと定期的なトリガー | |
EC2.20 | の両方のVPNトンネル AWS Site-to-Site VPN接続が起動している必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.21 | ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.22 | 未使用のEC2セキュリティグループは削除する必要があります | サービスマネージドスタンダード: AWS Control Tower | MEDIUM | 定期的 | |
EC2.23 | EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.24 | EC2 準仮想化インスタンスタイプは使用しないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.25 | EC2 起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.28 | EBS ボリュームはバックアッププランに含まれている必要があります | NIST SP 800-53 改訂 5 | LOW | |
定期的 |
EC2.33 | EC2 Transit Gateway アタッチメントにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.34 | EC2 Transit Gateway ルートテーブルにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.35 | EC2 ネットワークインターフェイスにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.36 | EC2 カスタマーゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.37 | EC2 Elastic IP アドレスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.38 | EC2 インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.39 | EC2 インターネットゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.40 | EC2 NAT ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.41 | EC2 ネットワークにはタグを付けるACLs必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.42 | EC2 ルートテーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.43 | EC2 セキュリティグループにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.44 | EC2 サブネットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.45 | EC2 ボリュームにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.46 | Amazon VPCs にはタグ付けする必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.47 | Amazon VPCエンドポイントサービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.48 | Amazon VPCフローログにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.49 | Amazon VPCピアリング接続にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.50 | EC2 VPN ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.51 | EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
EC2.52 | EC2 トランジットゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.53 | EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください | CIS AWS Foundations Benchmark v3.0.0 | HIGH | 定期的 | |
EC2.54 | EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの進入を許可しないでください | CIS AWS Foundations Benchmark v3.0.0 | HIGH | 定期的 | |
ECR.1 | ECR プライベートリポジトリでは、イメージスキャンを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
ECR.2 | ECR プライベートリポジトリにはタグのイミュータビリティを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ECR.3 | ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ECR.4 | ECR パブリックリポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ECS.1 | Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.2 | ECS サービスにはパブリック IP アドレスを自動的に割り当てないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.3 | ECS タスク定義はホストのプロセス名前空間を共有しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.4 | ECS コンテナは非特権として実行する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.5 | ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.8 | シークレットは、コンテナ環境の変数として渡さないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.9 | ECS タスク定義にはログ記録設定が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.10 | ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ECS.12 | ECS クラスターは Container Insights を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ECS.13 | ECS サービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ECS.14 | ECS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ECS.15 | ECS タスク定義にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EFS.1 | Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EFS.2 | Amazon EFSボリュームはバックアッププランに含まれている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EFS.3 | EFS アクセスポイントはルートディレクトリを適用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EFS.4 | EFS アクセスポイントはユーザー ID を適用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EFS.5 | EFS アクセスポイントにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EFS.6 | EFS マウントターゲットをパブリックサブネットに関連付けるべきではありません | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 定期的 | |
EFS.7 | EFS ファイルシステムでは自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
EKS.1 | EKS クラスターエンドポイントはパブリックアクセス可能であってはなりません | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
EKS.2 | EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EKS.3 | EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
EKS.6 | EKS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EKS.7 | EKS ID プロバイダー設定にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EKS.8 | EKS クラスターでは、監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ElastiCache.1 | ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
ElastiCache.2 | ElastiCache (Redis OSS) クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
ElastiCache.3 | ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ElastiCache.4 | ElastiCache (Redis OSS) レプリケーショングループは である必要があります encrypted-at-rest | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ElastiCache.5 | ElastiCache (Redis OSS) レプリケーショングループは である必要があります encrypted-in-transit | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ElastiCache.6 | ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ElastiCache.7 | ElastiCache (Redis OSS) クラスターはデフォルトのサブネットグループを使用しないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
ElasticBeanstalk.1 | Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
ElasticBeanstalk.2 | Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ElasticBeanstalk.3 | Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch | AWS Foundational Security Best Practices v1.0.0 | HIGH | |
変更によってトリガーされる |
ELB.1 | Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ELB.2 | SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.3 | Classic Load Balancer リスナーは、 HTTPSまたは TLS終了で設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.4 | Application Load Balancer は、http ヘッダーを削除するように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.5 | アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.6 | Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
ELB.7 | Classic Load Balancer は、Connection Draining を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.8 | SSL リスナーを持つ Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.9 | Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.10 | Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.12 | Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.13 | Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.14 | Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.16 | Application Load Balancer は に関連付ける必要があります AWS WAF ウェブ ACL | NIST SP 800-53 改訂 5 | MEDIUM | |
変更によってトリガーされる |
EMR.1 | Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
EMR.2 | Amazon EMRブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
ES.1 | Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ES.2 | Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
ES.3 | Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.4 | Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.5 | Elasticsearch ドメインで監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.6 | Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.7 | Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.8 | Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
ES.9 | Elasticsearch ドメインにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EventBridge.2 | EventBridge イベントバスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EventBridge.3 | EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
EventBridge.4 | EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります | NIST SP 800-53 改訂 5 | MEDIUM | |
変更によってトリガーされる |
FSx.1 | FSx for OpenZFS ファイルシステムは、タグをバックアップとボリュームにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
FSx.2 | FSx for Lustre ファイルシステムは、タグをバックアップにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
Glue.1 | AWS Glue ジョブにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Glue.2 | AWS Glue ジョブではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
Glue.3 | AWS Glue 機械学習変換は保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
GlobalAccelerator.1 | Global Accelerator アクセラレーターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty.1 | GuardDuty を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
GuardDuty.2 | GuardDuty フィルターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty.3 | GuardDuty IPSets タグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty.4 | GuardDuty ディテクターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty.5 | GuardDuty EKS 監査ログのモニタリングを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
GuardDuty.6 | GuardDuty Lambda Protection を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
GuardDuty.8 | GuardDuty のマルウェア保護を有効にするEC2必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
GuardDuty.9 | GuardDuty RDS 保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
GuardDuty.10 | GuardDuty S3 Protection を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
IAM.1 | IAM ポリシーでは、完全な「*」管理権限を許可しないでください | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
IAM.2 | IAM ユーザーにはIAMポリシーをアタッチしないでください | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
IAM.3 | IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
IAM.4 | IAM ルートユーザーアクセスキーは存在しない必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
IAM.5 | MFA コンソールパスワードを持つすべてのIAMユーザーに対して有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
IAM.6 | ルートユーザーに対してハードウェアを有効にするMFA必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
IAM.7 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
IAM.8 | 未使用のIAMユーザー認証情報は削除する必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
IAM.9 | MFA ルートユーザーに対して有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
IAM.10 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | PCI DSS v3.2.1 | MEDIUM | |
定期的 |
IAM.11 | IAM パスワードポリシーで少なくとも 1 つの大文字が要求されていることを確認する | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
定期的 |
IAM.12 | IAM パスワードポリシーに少なくとも 1 つの小文字が含まれていることを確認する | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
定期的 |
IAM.13 | IAM パスワードポリシーに少なくとも 1 つの記号が必要であることを確認する | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
定期的 |
IAM.14 | IAM パスワードポリシーに少なくとも 1 つの数字が必要であることを確認する | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
定期的 |
IAM.15 | IAM パスワードポリシーでパスワードの最小長が 14 以上であることを確認してください | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
定期的 |
IAM.16 | IAM パスワードポリシーでパスワードの再利用が禁止されていることを確認する | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0 | LOW | |
定期的 |
IAM.17 | IAM パスワードポリシーが 90 日以内にパスワードを期限切れにする | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
定期的 |
IAM.18 | でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0 | LOW | |
定期的 |
IAM.19 | MFA はすべてのIAMユーザーに対して有効にする必要があります | PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
IAM.21 | IAM 作成する カスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
IAM.22 | IAM 45 日間使用されていないユーザー認証情報は削除する必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0 | MEDIUM | |
定期的 |
IAM.23 | IAM Access Analyzer アナライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IAM.24 | IAM ロールにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IAM.25 | IAM ユーザーにはタグ付けする必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IAM.26 | で管理されている期限切れSSL/TLS証明書は削除IAMする必要があります | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | 定期的 | |
IAM.27 | IAM ID には AWSCloudShellFullAccess ポリシーをアタッチしないでください | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | 変更によってトリガーされる | |
IAM.28 | IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0 | HIGH | 定期的 | |
Inspector.1 | Amazon Inspector EC2スキャンを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
Inspector.2 | Amazon Inspector ECRスキャンを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
Inspector.3 | Amazon Inspector Lambda コードスキャンを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
Inspector.4 | Amazon Inspector Lambda 標準スキャンを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
IoT.1 | AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.2 | AWS IoT Core 緩和アクションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.3 | AWS IoT Core ディメンションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.4 | AWS IoT Core オーソライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.5 | AWS IoT Core ロールエイリアスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.6 | AWS IoT Core ポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Kinesis.1 | Kinesis Streams は、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Kinesis.2 | Kinesis ストリームにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
KMS.1 | IAM カスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
KMS.2 | IAM プリンシパルには、すべてのKMSキーIAMで復号アクションを許可するインラインポリシーがあってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
KMS.3 | AWS KMS keys 意図せずに削除しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
KMS.4 | AWS KMS key ローテーションを有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
Lambda.1 | Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
Lambda.2 | Lambda 関数はサポートされているランタイムを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Lambda.3 | Lambda 関数は、 VPC | PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
Lambda.5 | VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Lambda.6 | Lambda 関数にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Macie.1 | Amazon Macie を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
Macie.2 | Macie 自動機密データ検出を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | 定期的 | |
MSK.1 | MSK クラスターはブローカーノード間で転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
MSK.2 | MSK クラスターには拡張モニタリングが設定されている必要があります | NIST SP 800-53 改訂 5 | LOW | |
変更によってトリガーされる |
MQ.2 | ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
MQ.3 | Amazon MQ ブローカーでは、マイナーバージョンの自動アップグレードを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
MQ.4 | Amazon MQ ブローカーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
MQ.5 | ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります | NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
MQ.6 | RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 | NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
Neptune.1 | Neptune DB クラスターは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.2 | Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.3 | Neptune DB クラスタースナップショットはパブリックにしないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
変更によってトリガーされる |
Neptune.4 | Neptune DB クラスターでは、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
Neptune.5 | Neptune DB クラスターでは、自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.6 | Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.7 | Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.8 | Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
Neptune.9 | Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 改訂 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.1 | Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 改訂 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.2 | Network Firewall ログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
NetworkFirewall.3 | Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.4 | Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.5 | Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.6 | ステートレスネットワークファイアウォールのルールグループを空にしないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.7 | Network Firewall ファイアウォールにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
NetworkFirewall.8 | Network Firewall ファイアウォールポリシーにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
NetworkFirewall.9 | Network Firewall は削除保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.1 | OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.2 | OpenSearch ドメインはパブリックアクセス可能であってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
Opensearch.3 | OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.4 | OpenSearch CloudWatch ログへのドメインエラーのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.5 | OpenSearch ドメインでは、監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.6 | OpenSearch ドメインには少なくとも 3 つのデータノードが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.7 | OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
Opensearch.8 | OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
Opensearch.9 | OpenSearch ドメインにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Opensearch.10 | OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
Opensearch.11 | OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です | NIST SP 800-53 改訂 5 | MEDIUM | 定期的 | |
PCA.1 | AWS Private CA ルート認証機関を無効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
定期的 |
RDS.1 | RDS スナップショットはプライベートである必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
RDS.2 | RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
RDS.3 | RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.4 | RDS クラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.5 | RDS DB インスタンスは複数のアベイラビリティーゾーンで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.6 | RDS DB インスタンスの拡張モニタリングを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.7 | RDS クラスターでは削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.8 | RDS DB インスタンスでは削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.9 | RDS DB インスタンスはログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.10 | IAM 認証はRDSインスタンス用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.11 | RDS インスタンスでは自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.12 | IAM 認証はRDSクラスター用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.13 | RDS 自動マイナーバージョンアップグレードを有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
RDS.14 | Amazon Aurora クラスターはバックトラッキングを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.15 | RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.16 | RDS DB クラスターは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.17 | RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.18 | RDS インスタンスは にデプロイする必要があります VPC | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
RDS.19 | 既存のRDSイベント通知サブスクリプションは、重要なクラスターイベント用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.20 | 既存のRDSイベント通知サブスクリプションは、重要なデータベースインスタンスイベント用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.21 | 重要なデータベースパラメータグループRDSイベントには、イベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.22 | 重要なデータベースセキュリティグループRDSイベントに対してイベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.23 | RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.24 | RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.25 | RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.26 | RDS DB インスタンスはバックアッププランで保護する必要があります | NIST SP 800-53 改訂 5 | MEDIUM | |
定期的 |
RDS.27 | RDS DB クラスターは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
RDS.28 | RDS DB クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.29 | RDS DB クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.30 | RDS DB インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.31 | RDS DB セキュリティグループにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.32 | RDS DB スナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.33 | RDS DB サブネットグループにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.34 | Aurora DB SQLクラスターは監査ログを CloudWatch ログに発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.35 | RDS DB クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.1 | Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
Redshift.2 | Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.3 | Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.4 | Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.6 | Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.7 | Redshift クラスターは拡張VPCルーティングを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.8 | Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.9 | Redshift クラスターでは、デフォルトのデータベース名を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.10 | Redshift クラスターは保存時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.11 | Redshift クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.12 | Redshift イベントサブスクリプション通知にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.13 | Redshift クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.14 | Redshift クラスターサブネットグループにタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.15 | Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの進入を許可する必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
Route53.1 | Route 53 ヘルスチェックにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Route53.2 | Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
S3.1 | S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
S3.2 | S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によるトリガーと定期的なトリガー | |
S3.3 | S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によるトリガーと定期的なトリガー | |
S3.5 | S3 汎用バケットでは、 の使用をリクエストする必要があります SSL | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
S3.6 | S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
S3.7 | S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
S3.8 | S3 汎用バケットはパブリックアクセスをブロックする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
S3.9 | S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
S3.10 | バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | NIST SP 800-53 改訂 5 | MEDIUM | 変更によってトリガーされる | |
S3.11 | S3 汎用バケットでは、イベント通知を有効にする必要があります | NIST SP 800-53 改訂 5 | MEDIUM | 変更によってトリガーされる | |
S3.12 | ACLs S3 汎用バケットへのユーザーアクセスを管理するために を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
S3.13 | S3 汎用バケットにはライフサイクル設定が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
S3.14 | S3 汎用バケットではバージョニングを有効にする必要があります | NIST SP 800-53 改訂 5 | LOW | 変更によってトリガーされる | |
S3.15 | S3 汎用バケットでは、オブジェクトロックを有効にする必要があります | NIST SP 800-53 改訂 5 | MEDIUM | 変更によってトリガーされる | |
S3.17 | S3 汎用バケットは、保管時に で暗号化する必要があります AWS KMS keys | サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
S3.19 | S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によってトリガーされる | |
S3.20 | S3 汎用バケットでは、MFA削除を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
S3.22 | S3 汎用バケットは、オブジェクトレベルの書き込みイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | 定期的 | |
S3.23 | S3 汎用バケットは、オブジェクトレベルの読み取りイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | 定期的 | |
SageMaker.1 | Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
SageMaker.2 | SageMaker ノートブックインスタンスはカスタム で起動する必要があります VPC | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
SageMaker.3 | ユーザーは SageMaker ノートブックインスタンスへのルートアクセスを禁止されます | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
SageMaker.4 | SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きくなければなりません | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
SecretsManager.1 | Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
SecretsManager.2 | 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
SecretsManager.3 | 未使用の Secrets Manager のシークレットを削除します | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
SecretsManager.4 | Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
SecretsManager.5 | Secrets Manager のシークレットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ServiceCatalog.1 | Service Catalog ポートフォリオは 内で共有する必要があります AWS 組織のみ | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | 定期的 | |
SES.1 | SES 連絡先リストにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SES.2 | SES 設定セットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SNS.1 | SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS | NIST SP 800-53 改訂 5 | MEDIUM | 変更によってトリガーされる | |
SNS.3 | SNS トピックにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SQS.1 | Amazon SQSキューは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
SQS.2 | SQS キューにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SSM.1 | EC2 インスタンスは で管理する必要があります AWS Systems Manager | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
SSM.2 | EC2 Systems Manager によって管理される インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
SSM.3 | EC2 Systems Manager によって管理される インスタンスは、関連付けコンプライアンスステータスが である必要があります COMPLIANT | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
SSM.4 | SSM ドキュメントは公開しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
StepFunctions.1 | Step Functions ステートマシンでは、ログ記録がオンになっている必要があります | AWS 基本的なセキュリティのベストプラクティス | MEDIUM | |
変更によってトリガーされる |
StepFunctions.2 | Step Functions アクティビティにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
転送.1 | Transfer Family ワークフローにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Transfer.2 | Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
WAF.1 | AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
WAF.2 | AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.3 | AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.4 | AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.6 | AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.7 | AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.8 | AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.10 | AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.11 | AWS WAF ウェブACLログ記録を有効にする必要があります | NIST SP 800-53 改訂 5 | LOW | |
定期的 |
WAF.12 | AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WorkSpaces.1 | WorkSpaces ユーザーボリュームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
WorkSpaces.2 | WorkSpaces ルートボリュームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる |
トピック
- の Security Hub コントロール AWS アカウント
- API Gateway の Security Hub コントロール
- の Security Hub コントロール AWS AppSync
- Athena の Security Hub コントロール
- の Security Hub コントロール AWS Backup
- の Security Hub コントロール ACM
- の Security Hub コントロール AWS CloudFormation
- の Security Hub コントロール CloudFront
- の Security Hub コントロール CloudTrail
- の Security Hub コントロール CloudWatch
- の Security Hub コントロール CodeArtifact
- の Security Hub コントロール CodeBuild
- の Security Hub コントロール AWS Config
- Amazon Data Firehose の Security Hub コントロール
- の Security Hub コントロール DataSync
- Detective の Security Hub コントロール
- の Security Hub コントロール AWS DMS
- Amazon DocumentDB の Security Hub コントロール
- DynamoDB の Security Hub コントロール
- Amazon の Security Hub コントロール EC2
- Auto Scaling の Security Hub コントロール
- Amazon の Security Hub コントロール ECR
- Amazon の Security Hub コントロール ECS
- Amazon の Security Hub コントロール EFS
- Amazon の Security Hub コントロール EKS
- の Security Hub コントロール ElastiCache
- Elastic Beanstalk の Security Hub コントロール
- Elastic Load Balancing の Security Hub コントロール
- Elasticsearch 用 Security Hub
- Amazon の Security Hub コントロール EMR
- の Security Hub コントロール EventBridge
- Amazon の Security Hub コントロール FSx
- Global Accelerator の Security Hub コントロール
- の Security Hub コントロール AWS Glue
- の Security Hub コントロール GuardDuty
- の Security Hub コントロール IAM
- Amazon Inspector の Security Hub コントロール
- の Security Hub コントロール AWS IoT
- Kinesis の Security Hub コントロール
- の Security Hub コントロール AWS KMS
- Lambda の Security Hub コントロール
- Macie の Security Hub コントロール
- Amazon の Security Hub コントロール MSK
- Amazon MQ の Security Hub コントロール
- Neptune の Security Hub コントロール
- Network Firewall の Security Hub コントロール
- OpenSearch サービスの Security Hub コントロール
- の Security Hub コントロール AWS Private CA
- Amazon の Security Hub コントロール RDS
- Amazon Redshift の Security Hub コントロール
- Route 53 の Security Hub コントロール
- Amazon S3 の Security Hub コントロール
- の Security Hub コントロール SageMaker
- Secrets Manager の Security Hub コントロール
- Service Catalog の Security Hub コントロール
- Amazon の Security Hub コントロール SES
- Amazon の Security Hub コントロール SNS
- Amazon の Security Hub コントロール SQS
- Step Functions の Security Hub コントロール
- Systems Manager の Security Hub コントロール
- Transfer Family の Security Hub コントロール
- の Security Hub コントロール AWS WAF
- の Security Hub コントロール WorkSpaces