Security Hub コントロールのリファレンス - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub コントロールのリファレンス

このコントロールリファレンスには、利用可能な のリストが記載されています。 AWS Security Hub 各コントロールに関する詳細情報へのリンクを含む コントロール。概要テーブルには、コントロールがコントロール ID のアルファベット順に表示されます。Security Hub でアクティブに使用されているコントロールのみがここに含まれています。廃止されたコントロールはこのリストから除外されます。このテーブルには、各コントロールの以下の情報が表示されます。

  • セキュリティコントロール ID – この ID は標準全体に適用され、 AWS のサービス コントロールが関連する および リソース。Security Hub コンソールにはIDs、統合統制結果がアカウントで有効または無効になっているかどうかにかかわらず、セキュリティ統制 が表示されます。ただし、Security Hub の検出結果は、アカウントで統合コントロールの検出結果がオンになっているIDs場合にのみ、セキュリティコントロールを参照します。アカウントで統合統制結果が無効になっている場合、統制結果の一部は標準IDsによって異なります。標準固有のコントロールとセキュリティコントロールIDsのマッピングについてはIDs、「」を参照してください統合がコントロールIDsとタイトルに与える影響

    セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub はコントロールのタイトルや説明を更新することがありますが、コントロールIDsは変わりません。

    コントロールIDsは数字をスキップすることがあります。これらは将来のコントロール用のプレースホルダーです。

  • 適用される標準 — コントロールが適用される標準を示します。コントロールを選択すると、サードパーティのコンプライアンスフレームワークにおける特定の要件が表示されます。

  • セキュリティコントロールタイトル — このタイトルはあらゆる標準に適用されます。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロールとセキュリティコントロールIDsのマッピングについてはIDs、「」を参照してください統合がコントロールIDsとタイトルに与える影響

  • 重要度 — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub がコントロールの重要度を決定する方法の詳細については、「コントロール結果への重要度の割り当て」を参照してください。

  • スケジュールタイプ — コントロールがいつ評価されるかを示します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

  • カスタムパラメータをサポート — コントロールが 1 つ以上のパラメータのカスタム値をサポートしているかどうかを示します。コントロールを選択すると、パラメータの詳細が表示されます。詳細については、「Security Hub のコントロールパラメータについて」を参照してください。

詳細を表示するコントロールを選択します。コントロールはサービス名のアルファベット順にリストされています。

セキュリティコントロール ID セキュリティコントロールのタイトル 適用される標準 緊急度 カスタムパラメータをサポート スケジュールタイプ
Account.1 のセキュリティ連絡先情報を提供する必要があります AWS アカウント CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
Account.2 AWS アカウント は の一部である必要があります AWS Organizations 組織 NIST SP 800-53 改訂 5 HIGH いいえ 定期的
ACM.1 インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によるトリガーと定期的なトリガー
ACM.2 RSA によって管理される 証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 変更によってトリガーされる
ACM.3 ACM 証明書にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
APIGateway.1 API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
APIGateway.2 API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
APIGateway.3 API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
APIGateway.4 API ゲートウェイはWAFウェブに関連付ける必要があります ACL AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
APIGateway.5 API ゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
APIGateway.8 API ゲートウェイルートは認証タイプを指定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 定期的
APIGateway.9 アクセスログ記録はゲートウェイ API V2 ステージ用に設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
AppSync.2 AWS AppSync フィールドレベルのログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM はい 変更によってトリガーされる
AppSync.4 AWS AppSync GraphQL にはタグを付けるAPIs必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
AppSync.5 AWS AppSync GraphQL はAPIキーで認証APIsしないでください AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
Athena.2 Athena データカタログにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Athena.3 Athena ワークグループにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Athena.4 Athena ワークグループではログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
AutoScaling.1 ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
AutoScaling.2 Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
AutoScaling.3 Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 を要求するようにインスタンスを設定する必要があります (IMDSv2) AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
Autoscaling.5 Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
AutoScaling.6 Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
AutoScaling.9 EC2 Auto Scaling グループはEC2起動テンプレートを使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
AutoScaling.10 EC2 Auto Scaling グループにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Backup.1 AWS Backup リカバリポイントは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
バックアップ.2 AWS Backup 復旧ポイントにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
バックアップ.3 AWS Backup ボールトにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
バックアップ.4 AWS Backup レポートプランにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
バックアップ.5 AWS Backup バックアッププランにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
CloudFormation.2 CloudFormation スタックにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
CloudFront.1 CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
CloudFront.3 CloudFront ディストリビューションには転送中の暗号化が必要です AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
CloudFront.4 CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
CloudFront.5 CloudFront ディストリビューションではログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
CloudFront.6 CloudFront ディストリビューションは WAFが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
CloudFront.7 CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
CloudFront.8 CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
CloudFront.9 CloudFront ディストリビューションはカスタムオリジンへのトラフィックを暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
CloudFront.10 CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください。 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
CloudFront.12 CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしないでください AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
CloudFront.13 CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
CloudFront.14 CloudFront ディストリビューションにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
CloudTrail.1 CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
CloudTrail.2 CloudTrail は保管時の暗号化を有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
CloudTrail.3 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります PCI DSS v3.2.1 HIGH いいえ 定期的
CloudTrail.4 CloudTrail ログファイルの検証を有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 LOW いいえ 定期的
CloudTrail.5 CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 LOW いいえ 定期的
CloudTrail.6 CloudTrail ログの保存に使用される S3 バケットがパブリックアクセス可能でないことを確認する CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 CRITICAL いいえ 変更によるトリガーと定期的なトリガー
CloudTrail.7 S3 バケットで CloudTrail S3 バケットアクセスのログ記録が有効になっていることを確認する CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudTrail.9 CloudTrail 証跡にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
CloudWatch.1 「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.2 不正なAPI呼び出しに対してログメトリクスフィルターとアラームが存在することを確認する CIS AWS Foundations Benchmark v1.2.0 LOW いいえ 定期的
CloudWatch.3 なしで マネジメントコンソールのサインインにログメトリクスフィルターとアラームが存在することを確認する MFA CIS AWS Foundations Benchmark v1.2.0 LOW いいえ 定期的
CloudWatch.4 IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.5 CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.6 のログメトリクスフィルターとアラームが存在することを確認する AWS Management Console 認証の失敗 CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.7 作成した顧客を無効化またはスケジュールされた削除するためのログメトリクスフィルターとアラームが存在することを確認する CMKs CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.8 S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.9 のログメトリクスフィルターとアラームが存在することを確認する AWS Config 設定の変更 CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.10 セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.11 ネットワークアクセスコントロールリスト (NACL) の変更に対するログメトリクスフィルターとアラームが存在することを確認します。 CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.12 ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.13 ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.14 VPC 変更に対するログメトリクスフィルターとアラームが存在することを確認する CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 LOW いいえ 定期的
CloudWatch.15 CloudWatch アラームには、指定されたアクションが設定されている必要があります NIST SP 800-53 改訂 5 HIGH はい 変更によってトリガーされる
CloudWatch.16 CloudWatch ロググループは、指定された期間保持する必要があります NIST SP 800-53 改訂 5 MEDIUM はい 定期的
CloudWatch.17 CloudWatch アラームアクションを有効にする必要があります NIST SP 800-53 改訂 5 HIGH いいえ 変更によってトリガーされる
CodeArtifact.1 CodeArtifact リポジトリにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
CodeBuild.1 CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
CodeBuild.2 CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
CodeBuild.3 CodeBuild S3 ログは暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
CodeBuild.4 CodeBuild プロジェクト環境にはログ記録設定が必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
CodeBuild.7 CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
Config.1 AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、v3PCIDSS.2.1 MEDIUM はい 定期的
DataFirehose.1 Firehose 配信ストリームは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
DataSync.1 DataSync タスクではログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
Detective.1 検出動作グラフにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
DMS.1 Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
DMS.2 DMS 証明書にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
DMS.3 DMS イベントサブスクリプションにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
DMS.4 DMS レプリケーションインスタンスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
DMS.5 DMS レプリケーションサブネットグループにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
DMS.6 DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DMS.7 DMS ターゲットデータベースのレプリケーションタスクでは、ログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DMS.8 DMS ソースデータベースのレプリケーションタスクでは、ログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DMS.9 DMS エンドポイントは を使用する必要があります SSL AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DMS.10 DMS Neptune データベースの エンドポイントでは、IAM認証を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DMS.11 DMS MongoDB の エンドポイントでは、認証メカニズムを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DMS.12 DMS Redis の エンドポイントOSSは TLSを有効にしておく必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DocumentDB.1 Amazon DocumentDB クラスターは、保管中に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM いいえ 変更によってトリガーされる
DocumentDB.2 Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM はい 変更によってトリガーされる
DocumentDB.3 Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
DocumentDB.4 Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DocumentDB.5 Amazon DocumentDB では、削除保護が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DynamoDB.1 DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 定期的
DynamoDB.2 DynamoDB テーブルで point-in-time リカバリを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DynamoDB.3 DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
DynamoDB.4 DynamoDB テーブルはバックアッププランに含まれている必要があります NIST SP 800-53 改訂 5 MEDIUM はい 定期的
DynamoDB.5 DynamoDB テーブルにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
DynamoDB.6 DynamoDB テーブルで、削除保護が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
DynamoDB.7 DynamoDB Accelerator クラスターは転送中に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
EC2.1 EBS スナップショットはパブリックに復元可能であってはなりません AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
EC2.2 VPC デフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
EC2.3 アタッチされたEBSボリュームは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
EC2.4 停止したEC2インスタンスは、指定された期間後に削除する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 定期的
EC2.6 VPC フローログ記録は、すべての で有効にする必要があります VPCs CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
EC2.7 EBS デフォルトの暗号化を有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
EC2.8 EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
EC2.9 EC2 インスタンスにはパブリックIPv4アドレスを指定しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
EC2.10 Amazon EC2 は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定する必要があります。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
EC2.12 未使用の は削除EC2EIPsする必要があります PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
EC2.13 セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によるトリガーと定期的なトリガー
EC2.14 セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください CIS AWS Foundations Benchmark v1.2.0 HIGH いいえ 変更によるトリガーと定期的なトリガー
EC2.15 EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
EC2.16 未使用のネットワークアクセスコントロールリストを削除する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
EC2.17 EC2 インスタンスは複数の を使用しないでください ENIs AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
EC2.18 セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH はい 変更によってトリガーされる
EC2.19 セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によるトリガーと定期的なトリガー
EC2.20 の両方のVPNトンネル AWS Site-to-Site VPN接続が起動している必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
EC2.21 ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
EC2.22 未使用のEC2セキュリティグループは削除する必要があります サービスマネージドスタンダード: AWS Control Tower MEDIUM いいえ 定期的
EC2.23 EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
EC2.24 EC2 準仮想化インスタンスタイプは使用しないでください AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
EC2.25 EC2 起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
EC2.28 EBS ボリュームはバックアッププランに含まれている必要があります NIST SP 800-53 改訂 5 LOW はい 定期的
EC2.33 EC2 Transit Gateway アタッチメントにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.34 EC2 Transit Gateway ルートテーブルにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.35 EC2 ネットワークインターフェイスにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.36 EC2 カスタマーゲートウェイにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.37 EC2 Elastic IP アドレスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.38 EC2 インスタンスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.39 EC2 インターネットゲートウェイにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.40 EC2 NAT ゲートウェイにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.41 EC2 ネットワークにはタグを付けるACLs必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.42 EC2 ルートテーブルにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.43 EC2 セキュリティグループにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.44 EC2 サブネットにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.45 EC2 ボリュームにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.46 Amazon VPCs にはタグ付けする必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.47 Amazon VPCエンドポイントサービスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.48 Amazon VPCフローログにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.49 Amazon VPCピアリング接続にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.50 EC2 VPN ゲートウェイにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.51 EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
EC2.52 EC2 トランジットゲートウェイにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EC2.53 EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください CIS AWS Foundations Benchmark v3.0.0 HIGH いいえ 定期的
EC2.54 EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの進入を許可しないでください CIS AWS Foundations Benchmark v3.0.0 HIGH いいえ 定期的
ECR.1 ECR プライベートリポジトリでは、イメージスキャンを設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
ECR.2 ECR プライベートリポジトリにはタグのイミュータビリティを設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ECR.3 ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ECR.4 ECR パブリックリポジトリにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
ECS.1 Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
ECS.2 ECS サービスにはパブリック IP アドレスを自動的に割り当てないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
ECS.3 ECS タスク定義はホストのプロセス名前空間を共有しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
ECS.4 ECS コンテナは非特権として実行する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
ECS.5 ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
ECS.8 シークレットは、コンテナ環境の変数として渡さないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
ECS.9 ECS タスク定義にはログ記録設定が必要です AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
ECS.10 ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ECS.12 ECS クラスターは Container Insights を使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ECS.13 ECS サービスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
ECS.14 ECS クラスターにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
ECS.15 ECS タスク定義にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EFS.1 Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
EFS.2 Amazon EFSボリュームはバックアッププランに含まれている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
EFS.3 EFS アクセスポイントはルートディレクトリを適用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
EFS.4 EFS アクセスポイントはユーザー ID を適用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
EFS.5 EFS アクセスポイントにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EFS.6 EFS マウントターゲットをパブリックサブネットに関連付けるべきではありません AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 定期的
EFS.7 EFS ファイルシステムでは自動バックアップが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
EKS.1 EKS クラスターエンドポイントはパブリックアクセス可能であってはなりません AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
EKS.2 EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
EKS.3 EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
EKS.6 EKS クラスターにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EKS.7 EKS ID プロバイダー設定にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EKS.8 EKS クラスターでは、監査ログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ElastiCache.1 ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH はい 定期的
ElastiCache.2 ElastiCache (Redis OSS) クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
ElastiCache.3 ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
ElastiCache.4 ElastiCache (Redis OSS) レプリケーショングループは である必要があります encrypted-at-rest AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
ElastiCache.5 ElastiCache (Redis OSS) レプリケーショングループは である必要があります encrypted-in-transit AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
ElastiCache.6 ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
ElastiCache.7 ElastiCache (Redis OSS) クラスターはデフォルトのサブネットグループを使用しないでください AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
ElasticBeanstalk.1 Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
ElasticBeanstalk.2 Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH はい 変更によってトリガーされる
ElasticBeanstalk.3 Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch AWS Foundational Security Best Practices v1.0.0 HIGH はい 変更によってトリガーされる
ELB.1 Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
ELB.2 SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.3 Classic Load Balancer リスナーは、 HTTPSまたは TLS終了で設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.4 Application Load Balancer は、http ヘッダーを削除するように設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.5 アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.6 Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.7 Classic Load Balancer は、Connection Draining を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.8 SSL リスナーを持つ Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.9 Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.10 Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
ELB.12 Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.13 Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
ELB.14 Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ELB.16 Application Load Balancer は に関連付ける必要があります AWS WAF ウェブ ACL NIST SP 800-53 改訂 5 MEDIUM いいえ 変更によってトリガーされる
EMR.1 Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
EMR.2 Amazon EMRブロックパブリックアクセス設定を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
ES.1 Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
ES.2 Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
ES.3 Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ES.4 Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ES.5 Elasticsearch ドメインで監査ログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ES.6 Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ES.7 Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ES.8 Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
ES.9 Elasticsearch ドメインにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EventBridge.2 EventBridge イベントバスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
EventBridge.3 EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
EventBridge.4 EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります NIST SP 800-53 改訂 5 MEDIUM いいえ 変更によってトリガーされる
FSx.1 FSx for OpenZFS ファイルシステムは、タグをバックアップとボリュームにコピーするように設定する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
FSx.2 FSx for Lustre ファイルシステムは、タグをバックアップにコピーするように設定する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
Glue.1 AWS Glue ジョブにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Glue.2 AWS Glue ジョブではログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
Glue.3 AWS Glue 機械学習変換は保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
GlobalAccelerator.1 Global Accelerator アクセラレーターにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
GuardDuty.1 GuardDuty を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
GuardDuty.2 GuardDuty フィルターにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
GuardDuty.3 GuardDuty IPSets タグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
GuardDuty.4 GuardDuty ディテクターにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
GuardDuty.5 GuardDuty EKS 監査ログのモニタリングを有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
GuardDuty.6 GuardDuty Lambda Protection を有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
GuardDuty.8 GuardDuty のマルウェア保護を有効にするEC2必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
GuardDuty.9 GuardDuty RDS 保護を有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
GuardDuty.10 GuardDuty S3 Protection を有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
IAM.1 IAM ポリシーでは、完全な「*」管理権限を許可しないでください CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
IAM.2 IAM ユーザーにはIAMポリシーをアタッチしないでください CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
IAM.3 IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
IAM.4 IAM ルートユーザーアクセスキーは存在しない必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
IAM.5 MFA コンソールパスワードを持つすべてのIAMユーザーに対して有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
IAM.6 ルートユーザーに対してハードウェアを有効にするMFA必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
IAM.7 IAM ユーザーのパスワードポリシーには強力な設定が必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 定期的
IAM.8 未使用のIAMユーザー認証情報は削除する必要があります CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
IAM.9 MFA ルートユーザーに対して有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
IAM.10 IAM ユーザーのパスワードポリシーには強力な設定が必要です PCI DSS v3.2.1 MEDIUM いいえ 定期的
IAM.11 IAM パスワードポリシーで少なくとも 1 つの大文字が要求されていることを確認する CIS AWS Foundations Benchmark v1.2.0 MEDIUM いいえ 定期的
IAM.12 IAM パスワードポリシーに少なくとも 1 つの小文字が含まれていることを確認する CIS AWS Foundations Benchmark v1.2.0 MEDIUM いいえ 定期的
IAM.13 IAM パスワードポリシーに少なくとも 1 つの記号が必要であることを確認する CIS AWS Foundations Benchmark v1.2.0 MEDIUM いいえ 定期的
IAM.14 IAM パスワードポリシーに少なくとも 1 つの数字が必要であることを確認する CIS AWS Foundations Benchmark v1.2.0 MEDIUM いいえ 定期的
IAM.15 IAM パスワードポリシーでパスワードの最小長が 14 以上であることを確認してください CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0 MEDIUM いいえ 定期的
IAM.16 IAM パスワードポリシーでパスワードの再利用が禁止されていることを確認する CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0 LOW いいえ 定期的
IAM.17 IAM パスワードポリシーが 90 日以内にパスワードを期限切れにする CIS AWS Foundations Benchmark v1.2.0 LOW いいえ 定期的
IAM.18 でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0 LOW いいえ 定期的
IAM.19 MFA はすべてのIAMユーザーに対して有効にする必要があります PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
IAM.21 IAM 作成する カスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
IAM.22 IAM 45 日間使用されていないユーザー認証情報は削除する必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0 MEDIUM いいえ 定期的
IAM.23 IAM Access Analyzer アナライザーにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IAM.24 IAM ロールにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IAM.25 IAM ユーザーにはタグ付けする必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IAM.26 で管理されている期限切れSSL/TLS証明書は削除IAMする必要があります CIS AWS Foundations Benchmark v3.0.0 MEDIUM いいえ 定期的
IAM.27 IAM ID には AWSCloudShellFullAccess ポリシーをアタッチしないでください CIS AWS Foundations Benchmark v3.0.0 MEDIUM いいえ 変更によってトリガーされる
IAM.28 IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります CIS AWS Foundations Benchmark v3.0.0 HIGH いいえ 定期的
Inspector.1 Amazon Inspector EC2スキャンを有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
Inspector.2 Amazon Inspector ECRスキャンを有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
Inspector.3 Amazon Inspector Lambda コードスキャンを有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
Inspector.4 Amazon Inspector Lambda 標準スキャンを有効にする必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
IoT.1 AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IoT.2 AWS IoT Core 緩和アクションにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IoT.3 AWS IoT Core ディメンションにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IoT.4 AWS IoT Core オーソライザーにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IoT.5 AWS IoT Core ロールエイリアスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
IoT.6 AWS IoT Core ポリシーにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Kinesis.1 Kinesis Streams は、保管中に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Kinesis.2 Kinesis ストリームにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
KMS.1 IAM カスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
KMS.2 IAM プリンシパルには、すべてのKMSキーIAMで復号アクションを許可するインラインポリシーがあってはなりません AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
KMS.3 AWS KMS keys 意図せずに削除しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
KMS.4 AWS KMS key ローテーションを有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
Lambda.1 Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
Lambda.2 Lambda 関数はサポートされているランタイムを使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Lambda.3 Lambda 関数は、 VPC PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
Lambda.5 VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
Lambda.6 Lambda 関数にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Macie.1 Amazon Macie を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
Macie.2 Macie 自動機密データ検出を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
MSK.1 MSK クラスターはブローカーノード間で転送中に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
MSK.2 MSK クラスターには拡張モニタリングが設定されている必要があります NIST SP 800-53 改訂 5 LOW いいえ 変更によってトリガーされる
MQ.2 ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
MQ.3 Amazon MQ ブローカーでは、マイナーバージョンの自動アップグレードを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
MQ.4 Amazon MQ ブローカーにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
MQ.5 ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower LOW いいえ 変更によってトリガーされる
MQ.6 RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower LOW いいえ 変更によってトリガーされる
Neptune.1 Neptune DB クラスターは、保管中に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM いいえ 変更によってトリガーされる
Neptune.2 Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM いいえ 変更によってトリガーされる
Neptune.3 Neptune DB クラスタースナップショットはパブリックにしないでください AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower CRITICAL いいえ 変更によってトリガーされる
Neptune.4 Neptune DB クラスターでは、削除保護が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower LOW いいえ 変更によってトリガーされる
Neptune.5 Neptune DB クラスターでは、自動バックアップが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM はい 変更によってトリガーされる
Neptune.6 Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM いいえ 変更によってトリガーされる
Neptune.7 Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM いいえ 変更によってトリガーされる
Neptune.8 Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower LOW いいえ 変更によってトリガーされる
Neptune.9 Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります NIST SP 800-53 改訂 5 MEDIUM いいえ 変更によってトリガーされる
NetworkFirewall.1 Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります NIST SP 800-53 改訂 5 MEDIUM いいえ 変更によってトリガーされる
NetworkFirewall.2 Network Firewall ログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
NetworkFirewall.3 Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
NetworkFirewall.4 Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
NetworkFirewall.5 Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
NetworkFirewall.6 ステートレスネットワークファイアウォールのルールグループを空にしないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
NetworkFirewall.7 Network Firewall ファイアウォールにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
NetworkFirewall.8 Network Firewall ファイアウォールポリシーにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
NetworkFirewall.9 Network Firewall は削除保護を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Opensearch.1 OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Opensearch.2 OpenSearch ドメインはパブリックアクセス可能であってはなりません AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
Opensearch.3 OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Opensearch.4 OpenSearch CloudWatch ログへのドメインエラーのログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Opensearch.5 OpenSearch ドメインでは、監査ログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Opensearch.6 OpenSearch ドメインには少なくとも 3 つのデータノードが必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Opensearch.7 OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
Opensearch.8 OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Opensearch.9 OpenSearch ドメインにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Opensearch.10 OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
Opensearch.11 OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です NIST SP 800-53 改訂 5 MEDIUM いいえ 定期的
PCA.1 AWS Private CA ルート認証機関を無効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 定期的
RDS.1 RDS スナップショットはプライベートである必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
RDS.2 RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
RDS.3 RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.4 RDS クラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.5 RDS DB インスタンスは複数のアベイラビリティーゾーンで設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.6 RDS DB インスタンスの拡張モニタリングを設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW はい 変更によってトリガーされる
RDS.7 RDS クラスターでは削除保護が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.8 RDS DB インスタンスでは削除保護が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.9 RDS DB インスタンスはログを CloudWatch Logs に発行する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.10 IAM 認証はRDSインスタンス用に設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.11 RDS インスタンスでは自動バックアップが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
RDS.12 IAM 認証はRDSクラスター用に設定する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.13 RDS 自動マイナーバージョンアップグレードを有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
RDS.14 Amazon Aurora クラスターはバックトラッキングを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
RDS.15 RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.16 RDS DB クラスターは、タグをスナップショットにコピーするように設定する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.17 RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.18 RDS インスタンスは にデプロイする必要があります VPC AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
RDS.19 既存のRDSイベント通知サブスクリプションは、重要なクラスターイベント用に設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.20 既存のRDSイベント通知サブスクリプションは、重要なデータベースインスタンスイベント用に設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.21 重要なデータベースパラメータグループRDSイベントには、イベント通知サブスクリプションを設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.22 重要なデータベースセキュリティグループRDSイベントに対してイベント通知サブスクリプションを設定する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.23 RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
RDS.24 RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.25 RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.26 RDS DB インスタンスはバックアッププランで保護する必要があります NIST SP 800-53 改訂 5 MEDIUM はい 定期的
RDS.27 RDS DB クラスターは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower MEDIUM いいえ 変更によってトリガーされる
RDS.28 RDS DB クラスターにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
RDS.29 RDS DB クラスタースナップショットにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
RDS.30 RDS DB インスタンスにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
RDS.31 RDS DB セキュリティグループにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
RDS.32 RDS DB スナップショットにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
RDS.33 RDS DB サブネットグループにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
RDS.34 Aurora DB SQLクラスターは監査ログを CloudWatch ログに発行する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
RDS.35 RDS DB クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.1 Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
Redshift.2 Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.3 Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
Redshift.4 Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.6 Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.7 Redshift クラスターは拡張VPCルーティングを使用する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.8 Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.9 Redshift クラスターでは、デフォルトのデータベース名を使用しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.10 Redshift クラスターは保存時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
Redshift.11 Redshift クラスターにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Redshift.12 Redshift イベントサブスクリプション通知にはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Redshift.13 Redshift クラスタースナップショットにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Redshift.14 Redshift クラスターサブネットグループにタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Redshift.15 Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの進入を許可する必要があります AWS Foundational Security Best Practices v1.0.0 HIGH いいえ 定期的
Route53.1 Route 53 ヘルスチェックにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Route53.2 Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
S3.1 S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
S3.2 S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によるトリガーと定期的なトリガー
S3.3 S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によるトリガーと定期的なトリガー
S3.5 S3 汎用バケットでは、 の使用をリクエストする必要があります SSL CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
S3.6 S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
S3.7 S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
S3.8 S3 汎用バケットはパブリックアクセスをブロックする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
S3.9 S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
S3.10 バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です NIST SP 800-53 改訂 5 MEDIUM いいえ 変更によってトリガーされる
S3.11 S3 汎用バケットでは、イベント通知を有効にする必要があります NIST SP 800-53 改訂 5 MEDIUM はい 変更によってトリガーされる
S3.12 ACLs S3 汎用バケットへのユーザーアクセスを管理するために を使用しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
S3.13 S3 汎用バケットにはライフサイクル設定が必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 LOW はい 変更によってトリガーされる
S3.14 S3 汎用バケットではバージョニングを有効にする必要があります NIST SP 800-53 改訂 5 LOW いいえ 変更によってトリガーされる
S3.15 S3 汎用バケットでは、オブジェクトロックを有効にする必要があります NIST SP 800-53 改訂 5 MEDIUM はい 変更によってトリガーされる
S3.17 S3 汎用バケットは、保管時に で暗号化する必要があります AWS KMS keys サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
S3.19 S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 CRITICAL いいえ 変更によってトリガーされる
S3.20 S3 汎用バケットでは、MFA削除を有効にする必要があります CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
S3.22 S3 汎用バケットは、オブジェクトレベルの書き込みイベントをログに記録する必要があります CIS AWS Foundations Benchmark v3.0.0 MEDIUM いいえ 定期的
S3.23 S3 汎用バケットは、オブジェクトレベルの読み取りイベントをログに記録する必要があります CIS AWS Foundations Benchmark v3.0.0 MEDIUM いいえ 定期的
SageMaker.1 Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできません AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
SageMaker.2 SageMaker ノートブックインスタンスはカスタム で起動する必要があります VPC AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
SageMaker.3 ユーザーは SageMaker ノートブックインスタンスへのルートアクセスを禁止されます AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
SageMaker.4 SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きくなければなりません AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
SecretsManager.1 Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 変更によってトリガーされる
SecretsManager.2 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
SecretsManager.3 未使用の Secrets Manager のシークレットを削除します AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 定期的
SecretsManager.4 Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM はい 定期的
SecretsManager.5 Secrets Manager のシークレットにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
ServiceCatalog.1 Service Catalog ポートフォリオは 内で共有する必要があります AWS 組織のみ AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 HIGH いいえ 定期的
SES.1 SES 連絡先リストにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
SES.2 SES 設定セットにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
SNS.1 SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS NIST SP 800-53 改訂 5 MEDIUM いいえ 変更によってトリガーされる
SNS.3 SNS トピックにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
SQS.1 Amazon SQSキューは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
SQS.2 SQS キューにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
SSM.1 EC2 インスタンスは で管理する必要があります AWS Systems Manager AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
SSM.2 EC2 Systems Manager によって管理される インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 HIGH いいえ 変更によってトリガーされる
SSM.3 EC2 Systems Manager によって管理される インスタンスは、関連付けコンプライアンスステータスが である必要があります COMPLIANT AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、v3PCIDSS.2.1、NISTSP 800-53 Rev. 5 LOW いいえ 変更によってトリガーされる
SSM.4 SSM ドキュメントは公開しないでください AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 CRITICAL いいえ 定期的
StepFunctions.1 Step Functions ステートマシンでは、ログ記録がオンになっている必要があります AWS 基本的なセキュリティのベストプラクティス MEDIUM はい 変更によってトリガーされる
StepFunctions.2 Step Functions アクティビティにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
転送.1 Transfer Family ワークフローにはタグを付ける必要があります AWS リソースタグ付け標準 LOW はい 変更によってトリガーされる
Transfer.2 Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
WAF.1 AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 定期的
WAF.2 AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WAF.3 AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WAF.4 AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WAF.6 AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WAF.7 AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WAF.8 AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WAF.10 AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WAF.11 AWS WAF ウェブACLログ記録を有効にする必要があります NIST SP 800-53 改訂 5 LOW いいえ 定期的
WAF.12 AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 MEDIUM いいえ 変更によってトリガーされる
WorkSpaces.1 WorkSpaces ユーザーボリュームは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
WorkSpaces.2 WorkSpaces ルートボリュームは保管時に暗号化する必要があります AWS Foundational Security Best Practices v1.0.0 MEDIUM いいえ 変更によってトリガーされる
トピック