翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールのリファレンス
このコントロールリファレンスには、使用可能な AWS Security Hub コントロールのリストと、各コントロールに関する詳細情報へのリンクが記載されています。概要テーブルには、コントロールがコントロール ID のアルファベット順に表示されます。Security Hub でアクティブに使用されているコントロールのみがここに含まれています。廃止されたコントロールは、このリストから除外されます。このテーブルには、各コントロールの以下の情報が表示されます。
-
セキュリティコントロール ID – この ID は標準全体に適用され、コントロールが関連する AWS のサービス とリソースを示します。Security Hub コンソールにはIDs、アカウントで統合コントロールの検出結果がオンまたはオフになっているかどうかにかかわらず、セキュリティコントロール が表示されます。ただし、Security Hub の検出結果は、アカウントで統合コントロールの検出結果がオンになっているIDs場合にのみセキュリティコントロールを参照します。アカウントで統合統制結果が無効になっている場合、一部の統制結果は統制結果の標準IDsによって異なります。標準固有のコントロールとセキュリティコントロールIDsのマッピングについてはIDs、「」を参照してください統合がコントロールIDsとタイトルに与える影響。
セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub はコントロールのタイトルや説明を更新することがありますが、コントロールIDsは変わりません。
コントロールIDsは数字をスキップすることがあります。これらは将来のコントロール用のプレースホルダーです。
-
適用される標準 — コントロールが適用される標準を示します。コントロールを選択すると、サードパーティのコンプライアンスフレームワークにおける特定の要件が表示されます。
-
セキュリティコントロールタイトル — このタイトルはあらゆる標準に適用されます。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロールとセキュリティコントロールIDsのマッピングについてはIDs、「」を参照してください統合がコントロールIDsとタイトルに与える影響。
-
重要度 — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub がコントロールの重要度を決定する方法の詳細については、「コントロールの検出結果の重要度レベル」を参照してください。
-
スケジュールタイプ — コントロールがいつ評価されるかを示します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
-
カスタムパラメータをサポート — コントロールが 1 つ以上のパラメータのカスタム値をサポートしているかどうかを示します。コントロールを選択すると、パラメータの詳細が表示されます。詳細については、「Security Hub のコントロールパラメータについて」を参照してください。
詳細を表示するコントロールを選択します。コントロールはサービス名のアルファベット順にリストされています。
セキュリティコントロール ID | セキュリティコントロールのタイトル | 適用される標準 | 緊急度 | カスタムパラメータをサポート | スケジュールタイプ |
---|---|---|---|---|---|
Account.1 | のセキュリティ連絡先情報を提供する必要があります AWS アカウント | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
Account.2 | AWS アカウント は AWS Organizations 組織の一部である必要があります | NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
ACM1. | インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によるトリガーと定期的なトリガー |
ACM.2 | RSA によって管理される 証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | |
変更によってトリガーされる |
ACM.3 | ACM 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
APIGateway1. | API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.2 | API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.3 | API ゲートウェイRESTAPIステージでは AWS X-Ray トレースが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
APIGateway.4 | API ゲートウェイはWAFウェブに関連付ける必要があります ACL | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.5 | API ゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
APIGateway.8 | API ゲートウェイルートは認可タイプを指定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
APIGateway.9 | アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
AppSync1. | AWS AppSync API キャッシュは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
AppSync.2 | AWS AppSync フィールドレベルのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
AppSync.4 | AWS AppSync GraphQL にはタグを付けるAPIs必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
AppSync.5 | AWS AppSync GraphQL はAPIキーで認証APIsしないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
AppSync.6 | AWS AppSync API キャッシュは転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
Athena.2 | Athena データカタログにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Athena.3 | Athena ワークグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Athena.4 | Athena ワークグループではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
AutoScaling1. | ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
AutoScaling.2 | Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
AutoScaling.3 | Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 を要求するようにインスタンスを設定する必要があります (IMDSv2) | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | HIGH | |
変更によってトリガーされる |
Autoscaling.5 | Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | HIGH | |
変更によってトリガーされる |
AutoScaling.6 | Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
AutoScaling.9 | EC2 Auto Scaling グループはEC2起動テンプレートを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
AutoScaling.10 | EC2 Auto Scaling グループにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Backup.1 | AWS Backup 復旧ポイントは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Backup.2 | AWS Backup 復旧ポイントにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Backup.3 | AWS Backup ボールトにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Backup.4 | AWS Backup レポートプランにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Backup.5 | AWS Backup バックアッププランにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudFormation.2 | CloudFormation スタックにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudFront1. | CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | HIGH | 変更によってトリガーされる | |
CloudFront.3 | CloudFront ディストリビューションには転送中の暗号化が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
CloudFront.4 | CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
CloudFront.5 | CloudFront ディストリビューションではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
CloudFront.6 | CloudFront ディストリビューションで WAFが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
CloudFront.7 | CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CloudFront.8 | CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
CloudFront.9 | CloudFront ディストリビューションはカスタムオリジンへのトラフィックを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
CloudFront.10 | CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください。 | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
CloudFront.12 | CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | HIGH | |
定期的 |
CloudFront.13 | CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | |
変更によってトリガーされる |
CloudFront.14 | CloudFront ディストリビューションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudTrail1. | CloudTrail 読み取りと書き込みの管理イベントを含むマルチリージョン証跡を少なくとも 1 つ有効にして設定する必要があります。 | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | 定期的 | |
CloudTrail.2 | CloudTrail は保管時の暗号化を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
定期的 |
CloudTrail.3 | 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | PCI DSS v3.2.1、PCIDSSv4.0.1 | HIGH | 定期的 | |
CloudTrail.4 | CloudTrail ログファイルの検証を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、PCIDSSv4.0.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | LOW | |
定期的 |
CloudTrail.5 | CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | LOW | |
定期的 |
CloudTrail.6 | CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0、PCIDSSv4.0.1 | CRITICAL | |
変更によるトリガーと定期的なトリガー |
CloudTrail.7 | S3 バケットで CloudTrail S3 バケットアクセスのログ記録が有効になっていることを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v3.0.0、PCIDSSv4.0.1 | LOW | |
定期的 |
CloudTrail.9 | CloudTrail 証跡にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CloudWatch1. | 「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.2 | 不正なAPI呼び出しに対してログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
定期的 |
CloudWatch.3 | なしで マネジメントコンソールのサインインにログメトリクスフィルターとアラームが存在することを確認する MFA | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
定期的 |
CloudWatch.4 | IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.5 | CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.6 | AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.7 | 作成した顧客の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します。 CMKs | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.8 | S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.9 | AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.10 | セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.11 | ネットワークアクセスコントロールリストの変更に対するログメトリクスフィルターとアラームが存在することを確認する (NACL) | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.12 | ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.13 | ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.14 | VPC 変更に対するログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、 CIS AWS Foundations Benchmark v1.4.0 | LOW | |
定期的 |
CloudWatch.15 | CloudWatch アラームには、指定されたアクションが設定されている必要があります | NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
CloudWatch.16 | CloudWatch ロググループは、指定された期間保持する必要があります | NIST SP 800-53 Rev. 5 | MEDIUM | |
定期的 |
CloudWatch.17 | CloudWatch アラームアクションを有効にする必要があります | NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
CodeArtifact1. | CodeArtifact リポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
CodeBuild1. | CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | 変更によってトリガーされる | |
CodeBuild.2 | CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
変更によってトリガーされる |
CodeBuild.3 | CodeBuild S3 ログは暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower、 | LOW | |
変更によってトリガーされる |
CodeBuild.4 | CodeBuild プロジェクト環境にはログ記録設定が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
CodeBuild.7 | CodeBuild レポートグループのエクスポートは、保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
Cognito.1 | Cognito ユーザープールでは、標準認証の完全な関数強制モードで脅威保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
Config.1 | AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1 | CRITICAL | 定期的 | |
DataFirehose1. | Firehose 配信ストリームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
DataSync1. | DataSync タスクではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
Detective.1 | 検出動作グラフにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS1. | Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
定期的 |
DMS.2 | DMS 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.3 | DMS イベントサブスクリプションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.4 | DMS レプリケーションインスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.5 | DMS レプリケーションサブネットグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DMS.6 | DMS レプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
DMS.7 | DMS ターゲットデータベースのレプリケーションタスクでは、ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
DMS.8 | DMS ソースデータベースのレプリケーションタスクでは、ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
DMS.9 | DMS エンドポイントは を使用する必要があります SSL | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
DMS.10 | DMS Neptune データベースの エンドポイントでは、IAM認可が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
DMS.11 | DMS MongoDB の エンドポイントでは、認証メカニズムを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
DMS.12 | DMS Redis の エンドポイントはTLS有効になっているOSS必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
DocumentDB.1 | Amazon DocumentDB クラスターは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
DocumentDB.2 | Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
DocumentDB.3 | Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | CRITICAL | |
変更によってトリガーされる |
DocumentDB.4 | Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
DocumentDB.5 | Amazon DocumentDB では、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DynamoDB.1 | DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
DynamoDB.2 | DynamoDB テーブルでは point-in-time復旧を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DynamoDB.3 | DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
DynamoDB.4 | DynamoDB テーブルはバックアッププランに含まれている必要があります | NIST SP 800-53 Rev. 5 | MEDIUM | |
定期的 |
DynamoDB.5 | DynamoDB テーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
DynamoDB.6 | DynamoDB テーブルで、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
DynamoDB.7 | DynamoDB Accelerator クラスターは、転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 定期的 | |
EC21. | EBS スナップショットはパブリックに復元可能であってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
EC2.2 | VPC デフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.3 | アタッチされたEBSボリュームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.4 | 停止したEC2インスタンスは、指定された期間後に削除する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.6 | VPC フローログ記録はすべての で有効にする必要があります VPCs | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.7 | EBS デフォルトの暗号化を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.8 | EC2 インスタンスはインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
EC2.9 | EC2 インスタンスにはパブリックIPv4アドレスを指定しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.10 | Amazon は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定EC2する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EC2.12 | 未使用の は削除EC2EIPsする必要があります | PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
EC2.13 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv3.2.1、PCIDSSv4.0.1、NISTSP 800-53 Rev. 5 | HIGH | 変更によるトリガーと定期的なトリガー | |
EC2.14 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | HIGH | 変更によるトリガーと定期的なトリガー | |
EC2.15 | EC2 サブネットはパブリック IP アドレスを自動的に割り当てないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower、 | MEDIUM | |
変更によってトリガーされる |
EC2.16 | 未使用のネットワークアクセスコントロールリストを削除する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower、 | LOW | |
変更によってトリガーされる |
EC2.17 | EC2 インスタンスは複数の を使用しないでください ENIs | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
EC2.18 | セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.19 | セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によるトリガーと定期的なトリガー | |
EC2.20 | 接続の両方のVPNトンネルが AWS Site-to-Site VPN稼働している必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.21 | ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
EC2.22 | 未使用のEC2セキュリティグループは削除する必要があります | サービスマネージドスタンダード: AWS Control Tower | MEDIUM | 定期的 | |
EC2.23 | EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
EC2.24 | EC2 準仮想化インスタンスタイプは使用しないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EC2.25 | EC2 起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
EC2.28 | EBS ボリュームはバックアッププランに含まれている必要があります | NIST SP 800-53 Rev. 5 | LOW | |
定期的 |
EC2.33 | EC2 Transit Gateway アタッチメントにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.34 | EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.35 | EC2 ネットワークインターフェイスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.36 | EC2 カスタマーゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.37 | EC2 Elastic IP アドレスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.38 | EC2 インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.39 | EC2 インターネットゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.40 | EC2 NAT ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.41 | EC2 ネットワークにはタグを付けるACLs必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.42 | EC2 ルートテーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.43 | EC2 セキュリティグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.44 | EC2 サブネットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.45 | EC2 ボリュームにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.46 | Amazon にはタグを付けるVPCs必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.47 | Amazon VPCエンドポイントサービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.48 | Amazon VPCフローログにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.49 | Amazon VPCピアリング接続にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.50 | EC2 VPN ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.51 | EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | LOW | |
変更によってトリガーされる |
EC2.52 | EC2 Transit Gateway にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EC2.53 | EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください | CIS AWS Foundations Benchmark v3.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
EC2.54 | EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください | CIS AWS Foundations Benchmark v3.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
EC2.55 | VPCs は、 のインターフェイスエンドポイントで設定する必要があります。 ECR API | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
EC2.56 | VPCs Docker Registry のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
EC2.57 | VPCs Systems Manager のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
EC2.58 | VPCs は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
EC2.60 | VPCs は、Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
EC2.170 | EC2 起動テンプレートでは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | LOW | 変更によってトリガーされる | |
EC2.171 | EC2 VPN 接続ではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
ECR1. | ECR プライベートリポジトリでは、イメージスキャンを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
定期的 |
ECR.2 | ECR プライベートリポジトリにはタグのイミュータビリティが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ECR.3 | ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ECR.4 | ECR パブリックリポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ECS1. | Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.2 | ECS サービスにはパブリック IP アドレスを自動的に割り当てないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
ECS.3 | ECS タスク定義はホストのプロセス名前空間を共有しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.4 | ECS コンテナは非特権として実行する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.5 | ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.8 | シークレットは、コンテナ環境の変数として渡さないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
ECS.9 | ECS タスク定義にはログ記録設定が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
ECS.10 | ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
ECS.12 | ECS クラスターは Container Insights を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ECS.13 | ECS サービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ECS.14 | ECS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ECS.15 | ECS タスク定義にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ECS.16 | ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 変更によってトリガーされる | |
EFS1. | Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります。 AWS KMS | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EFS.2 | Amazon EFSボリュームはバックアッププランに含まれている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
EFS.3 | EFS アクセスポイントはルートディレクトリを適用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EFS.4 | EFS アクセスポイントはユーザー ID を適用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
EFS.5 | EFS アクセスポイントにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EFS.6 | EFS マウントターゲットをパブリックサブネットに関連付けることはできません | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 定期的 | |
EFS.7 | EFS ファイルシステムでは、自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
EFS.8 | EFS ファイルシステムは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
EKS1. | EKS クラスターエンドポイントはパブリックにアクセスできません | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | HIGH | |
定期的 |
EKS.2 | EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
EKS.3 | EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 定期的 | |
EKS.6 | EKS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EKS.7 | EKS ID プロバイダー設定にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EKS.8 | EKS クラスターでは監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
ElastiCache1. | ElastiCache (Redis OSS) クラスターでは、自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
ElastiCache.2 | ElastiCache クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | HIGH | |
定期的 |
ElastiCache.3 | ElastiCache レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ElastiCache.4 | ElastiCache レプリケーショングループは である必要があります encrypted-at-rest | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ElastiCache.5 | ElastiCache レプリケーショングループは である必要があります encrypted-in-transit | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
ElastiCache.6 | ElastiCache 以前のバージョンの (Redis OSS) レプリケーショングループでは、Redis OSSAUTHが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
ElastiCache.7 | ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | |
定期的 |
ElasticBeanstalk1. | Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
ElasticBeanstalk.2 | Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
ElasticBeanstalk.3 | Elastic Beanstalk は にログをストリーミングする必要があります CloudWatch | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | |
変更によってトリガーされる |
ELB1. | Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ELB.2 | SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.3 | Classic Load Balancer リスナーは、 HTTPSまたは TLS終了で設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
ELB.4 | Application Load Balancer は、http ヘッダーを削除するように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
ELB.5 | アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.6 | アプリケーション、ゲートウェイ、Network Load Balancer で削除保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
ELB.7 | Classic Load Balancer は、Connection Draining を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.8 | SSL リスナーを持つ Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
ELB.9 | Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.10 | Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.12 | Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
ELB.13 | Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ELB.14 | Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
ELB.16 | Application Load Balancer は AWS WAFウェブに関連付ける必要があります ACL | NIST SP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
EMR1. | Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
定期的 |
EMR.2 | Amazon EMRブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | CRITICAL | |
定期的 |
ES.1 | Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
ES.2 | Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv3.2.1、PCIDSSv4.0.1、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
定期的 |
ES.3 | Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower、 | MEDIUM | |
変更によってトリガーされる |
ES.4 | Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.5 | Elasticsearch ドメインで監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
ES.6 | Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.7 | Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
ES.8 | Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | 変更によってトリガーされる | |
ES.9 | Elasticsearch ドメインには タグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EventBridge.2 | EventBridge イベントバスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
EventBridge.3 | EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | LOW | |
変更によってトリガーされる |
EventBridge.4 | EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります | NIST SP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
FSx1. | FSx for OpenZFS ファイルシステムは、タグをバックアップとボリュームにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
定期的 |
FSx.2 | FSx for Lustre ファイルシステムは、タグをバックアップにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | 定期的 | |
Glue.1 | AWS Glue ジョブにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Glue.3 | AWS Glue 機械学習変換は保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
GlobalAccelerator1. | Global Accelerator アクセラレーターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty1. | GuardDuty を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
定期的 |
GuardDuty.2 | GuardDuty フィルターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty.3 | GuardDuty IPSets タグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty.4 | GuardDuty ディテクターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
GuardDuty.5 | GuardDuty EKS 監査ログのモニタリングを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
GuardDuty.6 | GuardDuty Lambda Protection を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
GuardDuty.7 | GuardDuty EKS Runtime Monitoring を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | MEDIUM | 定期的 | |
GuardDuty.8 | GuardDuty Malware Protection for を有効にするEC2必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | 定期的 | |
GuardDuty.9 | GuardDuty RDS 保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
GuardDuty.10 | GuardDuty S3 Protection を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
IAM1. | IAM ポリシーでは、完全な「*」管理者権限を許可しないでください | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
IAM.2 | IAM ユーザーにはIAMポリシーをアタッチしないでください | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
IAM.3 | IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
定期的 |
IAM.4 | IAM ルートユーザーアクセスキーは存在してはいけません | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
IAM.5 | MFA コンソールパスワードを持つすべてのIAMユーザーに対して有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
定期的 |
IAM.6 | ルートユーザーに対してハードウェアを有効にするMFA必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
定期的 |
IAM.7 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
定期的 |
IAM.8 | 未使用のIAMユーザー認証情報は削除する必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
定期的 |
IAM.9 | MFA ルートユーザーに対して を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1 | CRITICAL | |
定期的 |
IAM.10 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | PCI DSS v3.2.1、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
IAM.11 | IAM パスワードポリシーに少なくとも 1 つの大文字が含まれていることを確認する | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
IAM.12 | IAM パスワードポリシーに少なくとも 1 つの小文字が含まれていることを確認する | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
IAM.13 | IAM パスワードポリシーに少なくとも 1 つの記号が必要であることを確認する | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
IAM.14 | IAM パスワードポリシーに少なくとも 1 つの数字が必要であることを確認する | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
IAM.15 | IAM パスワードポリシーでは、パスワードの長さが 14 以上であることを確認してください。 | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
定期的 |
IAM.16 | IAM パスワードポリシーがパスワードの再利用を禁止するようにする | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | LOW | |
定期的 |
IAM.17 | IAM パスワードポリシーが 90 日以内にパスワードを期限切れにすることを確認する | CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | LOW | |
定期的 |
IAM.18 | でインシデントを管理するためのサポートロールが作成されていることを確認します。 サポート | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、PCIDSSv4.0.1 | LOW | |
定期的 |
IAM.19 | MFA はすべてのIAMユーザーに対して有効にする必要があります | NIST SP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
IAM.21 | IAM 作成する カスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
IAM.22 | IAM 45 日間使用されていない ユーザー認証情報は削除する必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0 | MEDIUM | |
定期的 |
IAM.23 | IAM Access Analyzer アナライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IAM.24 | IAM ロールにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IAM.25 | IAM ユーザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IAM.26 | で管理されている期限切れSSL/TLS証明書は削除IAMする必要があります | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | 定期的 | |
IAM.27 | IAM ID には AWSCloudShellFullAccess ポリシーをアタッチしないでください | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | 変更によってトリガーされる | |
IAM.28 | IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0 | HIGH | 定期的 | |
Inspector.1 | Amazon Inspector EC2スキャンを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
Inspector.2 | Amazon Inspector ECRスキャンを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
Inspector.3 | Amazon Inspector Lambda コードスキャンを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
Inspector.4 | Amazon Inspector Lambda 標準スキャンを有効する必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
IoT.1 | AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.2 | AWS IoT Core 緩和アクションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.3 | AWS IoT Core ディメンションにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.4 | AWS IoT Core オーソライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.5 | AWS IoT Core ロールエイリアスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
IoT.6 | AWS IoT Core ポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Kinesis.1 | Kinesis Streams は、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Kinesis.2 | Kinesis ストリームにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Kinesis.3 | Kinesis ストリームには適切なデータ保持期間が必要です | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
KMS1. | IAM カスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
KMS.2 | IAM プリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
KMS.3 | AWS KMS keys 意図せずに削除しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
KMS.4 | AWS KMS key ローテーションを有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 CIS AWS Foundations Benchmark v1.2.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
KMS.5 | KMS キーはパブリックアクセス可能であってはなりません | AWS Foundational Security Best Practices v1.0.0 | CRITICAL | 変更によってトリガーされる | |
Lambda.1 | Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
変更によってトリガーされる |
Lambda.2 | Lambda 関数はサポートされているランタイムを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Lambda.3 | Lambda 関数は、 VPC | PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
Lambda.5 | VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Lambda.6 | Lambda 関数にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Macie.1 | Amazon Macie を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
Macie.2 | Macie 自動機密データ検出を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | 定期的 | |
MSK1. | MSK クラスターはブローカーノード間で転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
MSK.2 | MSK クラスターには拡張モニタリングが設定されている必要があります | NIST SP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
MSK.3 | MSK 接続コネクタは転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
MQ.2 | ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
MQ.3 | Amazon MQ ブローカーでは自動マイナーバージョンアップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | LOW | 変更によってトリガーされる | |
MQ.4 | Amazon MQ ブローカーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
MQ.5 | ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります | NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
MQ.6 | RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 | NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
Neptune.1 | Neptune DB クラスターは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.2 | Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.3 | Neptune DB クラスタースナップショットはパブリックにしないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
変更によってトリガーされる |
Neptune.4 | Neptune DB クラスターでは、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
Neptune.5 | Neptune DB クラスターでは、自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.6 | Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.7 | Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Neptune.8 | Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
Neptune.9 | Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall1. | Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.2 | Network Firewall ログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期的 |
NetworkFirewall.3 | Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.4 | Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.5 | Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.6 | ステートレスネットワークファイアウォールのルールグループを空にしないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
NetworkFirewall.7 | Network Firewall ファイアウォールにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
NetworkFirewall.8 | Network Firewall ファイアウォールポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
NetworkFirewall.9 | Network Firewall は削除保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.1 | OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.2 | OpenSearch ドメインはパブリックアクセス可能であってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
Opensearch.3 | OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.4 | OpenSearch CloudWatch ログへのドメインエラーのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.5 | OpenSearch ドメインでは監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Opensearch.6 | OpenSearch ドメインには少なくとも 3 つのデータノードが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Opensearch.7 | OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
Opensearch.8 | OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
Opensearch.9 | OpenSearch ドメインにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Opensearch.10 | OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | LOW | |
変更によってトリガーされる |
Opensearch.11 | OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です | NIST SP 800-53 Rev. 5 | LOW | 定期的 | |
PCA1. | AWS Private CA ルート認証機関を無効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
定期的 |
RDS1. | RDS スナップショットはプライベートである必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
変更によってトリガーされる |
RDS.2 | RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1 | CRITICAL | |
変更によってトリガーされる |
RDS.3 | RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.4 | RDS クラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.5 | RDS DB インスタンスは複数のアベイラビリティーゾーンで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.6 | RDS DB インスタンスの拡張モニタリングを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.7 | RDS クラスターでは削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.8 | RDS DB インスタンスでは削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.9 | RDS DB インスタンスは ログに CloudWatch ログを発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
RDS.10 | IAM 認証はRDSインスタンス用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.11 | RDS インスタンスでは自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.12 | IAM 認証はRDSクラスター用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.13 | RDS 自動マイナーバージョンアップグレードを有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
RDS.14 | Amazon Aurora クラスターはバックトラッキングを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.15 | RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
RDS.16 | RDS DB クラスターは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.17 | RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.18 | RDS インスタンスは にデプロイする必要があります VPC | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
RDS.19 | 既存のRDSイベント通知サブスクリプションは、重要なクラスターイベント用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.20 | 既存のRDSイベント通知サブスクリプションは、重要なデータベースインスタンスイベント用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
RDS.21 | RDS 重要なデータベースパラメータグループイベントには、イベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
RDS.22 | RDS 重要なデータベースセキュリティグループイベントに対してイベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
RDS.23 | RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | |
変更によってトリガーされる |
RDS.24 | RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
RDS.25 | RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
RDS.26 | RDS DB インスタンスはバックアッププランで保護する必要があります | NIST SP 800-53 Rev. 5 | MEDIUM | |
定期的 |
RDS.27 | RDS DB クラスターは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
RDS.28 | RDS DB クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.29 | RDS DB クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.30 | RDS DB インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.31 | RDS DB セキュリティグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.32 | RDS DB スナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.33 | RDS DB サブネットグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
RDS.34 | AuroraSQL DB クラスターは監査ログを CloudWatch ログに発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
RDS.35 | RDS DB クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
RDS.36 | RDS for PostgreSQL DB インスタンスはログを CloudWatch ログに発行する必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
RDS.37 | Aurora PostgreSQL DB クラスターはログを CloudWatch ログに発行する必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
RDS.38 | RDS for PostgreSQL DB インスタンスは転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 定期的 | |
RDS.39 | RDS for DB SQLインスタンスは転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 定期的 | |
Redshift.1 | Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | CRITICAL | |
変更によってトリガーされる |
Redshift.2 | Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Redshift.3 | Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.4 | Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
Redshift.6 | Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.7 | Redshift クラスターは拡張VPCルーティングを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.8 | Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.9 | Redshift クラスターでは、デフォルトのデータベース名を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.10 | Redshift クラスターは保存時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
Redshift.11 | Redshift クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.12 | Redshift イベントサブスクリプション通知にはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.13 | Redshift クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.14 | Redshift クラスターサブネットグループはタグ付けする必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Redshift.15 | Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 定期的 | |
Redshift.16 | Redshift クラスターサブネットグループには、複数のアベイラビリティーゾーンからのサブネットが必要です | NIST SP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
Route53.1 | Route 53 ヘルスチェックにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Route53.2 | Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
S3.1 | S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | 定期的 | |
S3.2 | S3 汎用バケットではパブリック読み取りアクセスをブロックする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によるトリガーと定期的なトリガー | |
S3.3 | S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | 変更によるトリガーと定期的なトリガー | |
S3.5 | S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | 変更によってトリガーされる | |
S3.6 | S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
S3.7 | S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります | PCI DSS v3.2.1、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
S3.8 | S3 汎用バケットではパブリックアクセスをブロックする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | 変更によってトリガーされる | |
S3.9 | S3 汎用バケットでは、サーバーアクセスログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | 変更によってトリガーされる | |
S3.10 | バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | NIST SP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
S3.11 | S3 汎用バケットでは、イベント通知を有効にする必要があります | NIST SP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
S3.12 | ACLs S3 汎用バケットへのユーザーアクセスの管理には使用しないでください。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
S3.13 | S3 汎用バケットにはライフサイクル設定が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
S3.14 | S3 汎用バケットでは バージョニングが有効になっている必要があります | NIST SP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
S3.15 | S3 汎用バケットでは Object Lock が有効になっている必要があります | NIST SP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 変更によってトリガーされる | |
S3.17 | S3 汎用バケットは、保管時に で暗号化する必要があります AWS KMS keys | NIST SP 800-53 Rev. PCI DSS 5、v4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | 変更によってトリガーされる | |
S3.19 | S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | CRITICAL | 変更によってトリガーされる | |
S3.20 | S3 汎用バケットではMFA、削除を有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0、 CIS AWS Foundations Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | LOW | 変更によってトリガーされる | |
S3.22 | S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v3.0.0、PCIDSSv4.0.1 | MEDIUM | 定期的 | |
S3.23 | S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v3.0.0、PCIDSSv4.0.1 | MEDIUM | 定期的 | |
S3.24 | S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | HIGH | 変更によってトリガーされる | |
SageMaker1. | Amazon SageMaker AI Notebook インスタンスは、直接インターネットアクセスできません | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
定期的 |
SageMaker.2 | SageMaker ノートブックインスタンスは、カスタム で起動する必要があります。 VPC | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
SageMaker.3 | ユーザーには SageMaker ノートブックインスタンスへのルートアクセスを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
SageMaker.4 | SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きくする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | 定期的 | |
SecretsManager1. | Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
SecretsManager.2 | 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
変更によってトリガーされる |
SecretsManager.3 | 未使用の Secrets Manager のシークレットを削除します | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
定期的 |
SecretsManager.4 | Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | MEDIUM | |
定期的 |
SecretsManager.5 | Secrets Manager シークレットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
ServiceCatalog1. | Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | HIGH | 定期的 | |
SES1. | SES 連絡先リストにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SES.2 | SES 設定セットにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SNS1. | SNS トピックは、 を使用して保管時に暗号化する必要があります。 AWS KMS | NIST SP 800-53 Rev. 5 | MEDIUM | 変更によってトリガーされる | |
SNS.3 | SNS トピックにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SNS.4 | SNS トピックアクセスポリシーでパブリックアクセスを許可しない | AWS Foundational Security Best Practices v1.0.0 | HIGH | 変更によってトリガーされる | |
SQS1. | Amazon SQSキューは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
SQS.2 | SQS キューにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
SSM1. | EC2 インスタンスは によって管理する必要があります AWS Systems Manager | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
SSM.2 | EC2 Systems Manager によって管理される インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | HIGH | |
変更によってトリガーされる |
SSM.3 | EC2 Systems Manager によって管理される インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、サービスマネージドスタンダード: AWS Control Tower | LOW | |
変更によってトリガーされる |
SSM.4 | SSM ドキュメントは公開しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期的 |
StepFunctions1. | Step Functions ステートマシンでは、ログ記録がオンになっている必要があります | AWS Foundational Security Best Practices v1.0.0、PCIDSSv4.0.1 | MEDIUM | |
変更によってトリガーされる |
StepFunctions.2 | Step Functions アクティビティにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Transfer.1 | Transfer Family ワークフローにはタグを付ける必要があります | AWS リソースタグ付け標準 | LOW | 変更によってトリガーされる | |
Transfer.2 | Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | 定期的 | |
WAF1. | AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
定期的 |
WAF.2 | AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.3 | AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.4 | AWS WAF Classic Regional Web には、少なくとも 1 つのルールまたはルールグループACLsが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.6 | AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.7 | AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.8 | AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.10 | AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WAF.11 | AWS WAF ウェブACLログ記録を有効にする必要があります | NIST SP 800-53 Rev. 5、PCIDSSv4.0.1 | LOW | |
定期的 |
WAF.12 | AWS WAF ルールでは CloudWatch メトリクスが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
変更によってトリガーされる |
WorkSpaces1. | WorkSpaces ユーザーボリュームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる | |
WorkSpaces.2 | WorkSpaces ルートボリュームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0 | MEDIUM | 変更によってトリガーされる |
トピック
- AWS アカウント の Security Hub コントロール
- API Gateway の Security Hub コントロール
- の Security Hub コントロール AWS AppSync
- Athena の Security Hub コントロール
- AWS Backup の Security Hub コントロール
- ACM の Security Hub コントロール
- AWS CloudFormation の Security Hub コントロール
- の Security Hub コントロール CloudFront
- の Security Hub コントロール CloudTrail
- CloudWatch の Security Hub コントロール
- CodeArtifact の Security Hub コントロール
- の Security Hub コントロール CodeBuild
- Amazon Cognito の Security Hub コントロール
- の Security Hub コントロール AWS Config
- Amazon Data Firehose の Security Hub コントロール
- DataSync の Security Hub コントロール
- Detective の Security Hub コントロール
- の Security Hub コントロール AWS DMS
- Amazon DocumentDB の Security Hub コントロール
- DynamoDB の Security Hub コントロール
- Amazon の Security Hub コントロール EC2
- Auto Scaling の Security Hub コントロール
- Amazon の Security Hub コントロール ECR
- Amazon の Security Hub コントロール ECS
- Amazon の Security Hub コントロール EFS
- Amazon の Security Hub コントロール EKS
- の Security Hub コントロール ElastiCache
- Elastic Beanstalk の Security Hub コントロール
- Elastic Load Balancing の Security Hub コントロール
- Elasticsearch の Security Hub
- Amazon の Security Hub コントロール EMR
- の Security Hub コントロール EventBridge
- Amazon の Security Hub コントロール FSx
- Global Accelerator の Security Hub コントロール
- の Security Hub コントロール AWS Glue
- の Security Hub コントロール GuardDuty
- IAM の Security Hub コントロール
- Amazon Inspector の Security Hub コントロール
- AWS IoT の Security Hub コントロール
- Kinesis の Security Hub コントロール
- の Security Hub コントロール AWS KMS
- Lambda の Security Hub ブコントロール
- Macie の Security Hub コントロール
- Amazon の Security Hub コントロール MSK
- Amazon MQ の Security Hub コントロール
- Neptune の Security Hub コントロール
- Network Firewall の Security Hub コントロール
- OpenSearch サービスの Security Hub コントロール
- AWS Private CA の Security Hub コントロール
- Amazon の Security Hub コントロール RDS
- Amazon Redshift の Security Hub コントロール
- Route 53 の Security Hub コントロール
- Amazon S3 の Security Hub コントロール
- SageMaker AI の Security Hub コントロール
- Secrets Manager の Security Hub コントロール
- Service Catalog の Security Hub コントロール
- Amazon SES の Security Hub コントロール
- Amazon の Security Hub コントロール SNS
- Amazon SQS の Security Hub コントロール
- Step Functions の Security Hub コントロール
- Systems Manager の Security Hub コントロール
- Transfer Family の Security Hub コントロール
- の Security Hub コントロール AWS WAF
- WorkSpaces の Security Hub コントロール