Security Hub コントロールのリファレンス
このコントロールリファレンスには、使用可能な AWS Security Hub コントロールのリストと、各コントロールの詳細情報へのリンクが記載されています。概要テーブルには、コントロールがコントロール ID のアルファベット順に表示されます。このテーブルには、各コントロールの以下の情報が表示されます。
-
セキュリティコントロール ID — この ID はあらゆる標準に適用され、コントロールに関連する AWS のサービス およびリソースを示します。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロール ID が表示されます。ただし、Security Hub の検出結果がセキュリティコントロール ID を参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、コントロール ID はコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub はコントロールのタイトルや説明を更新することがありますが、コントロール ID は変わりません。
コントロール ID は数字が飛ばされることがあります。これらは将来のコントロール用のプレースホルダーです。
-
適用される標準 — コントロールが適用される標準を示します。コントロールを選択すると、サードパーティのコンプライアンスフレームワークにおける特定の要件が表示されます。
-
セキュリティコントロールタイトル — このタイトルはあらゆる標準に適用されます。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、コントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
-
重要度 — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub がコントロールの重要度を決定する方法の詳細については、「コントロール結果への重要度の割り当て」を参照してください。
-
スケジュールタイプ — コントロールがいつ評価されるかを示します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
詳細を表示するコントロールを選択します。コントロールはサービス名のアルファベット順にリストされています。
| セキュリティコントロール ID | セキュリティコントロールのタイトル | 適用される標準 | 緊急度 | スケジュールタイプ |
|---|---|---|---|---|
|
AWS アカウント について、セキュリティの連絡先情報を提供する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
定期的 |
|
|
AWS アカウント は、AWS Organizations 組織の一部である必要があります |
NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
変更によるトリガーと定期的なトリガー |
|
|
ACM が管理する RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0 |
HIGH |
変更によってトリガーされる |
|
|
API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
API Gateway は、WAF ウェブ ACL に関連付けられている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
API Gateway ルートには認証タイプを指定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
API Gateway V2 ステージにアクセスログ記録を設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS AppSyncはフィールドレベルのログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0 |
中 |
変更によってトリガーされる |
|
|
AWS AppSync GraphQL API は API キーで認証されるべきではありません |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Athena ワークグループは、保管中に暗号化する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、サービスマネージド標準: AWS Control Tower |
中 |
変更によってトリガーされる |
|
|
Classic Load Balancer に関連付けられた 自動スケーリンググループは、ロードバランサーのヘルスチェックを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Auto Scaling グループの起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
EC2 Auto Scaling グループは EC2 起動テンプレートを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、転送中に暗号化が必要となります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、ログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、WAF を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります。 |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0 |
中 |
変更によってトリガーされる |
|
|
CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
CloudTrail は保管時の暗号化を有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
CloudTrail を有効にする必要があります |
PCI DSS v3.2.1 |
HIGH |
定期的 |
|
|
CloudTrail ログファイルの検証を有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
低 |
定期的 |
|
|
CloudTrail 証跡は、Amazon CloudWatch Logs と統合する必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
低 |
定期的 |
|
|
CloudTrail ログの保存に使用されるS3 バケットが一般公開されていないことを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
重大 |
変更によるトリガーと定期的なトリガー |
|
|
S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります |
CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
不正な API コールに対するログメトリクスフィルターとアラームが存在することを確認する |
CIS AWS Foundations Benchmark v.1.2.0 |
低 |
定期的 |
|
|
MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v.1.2.0 |
低 |
定期的 |
|
|
MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。 |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
CloudTrail の設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します。 |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
AWS Management Console 認証の失敗に対してログメトリックフィルターとアラームが存在することを確認する |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
AWS Config 設定の変更に対してログメトリックフィルターとアラームが存在することを確認する |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
CloudWatch アラームには、指定されたアクションが設定されている必要があります |
NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
CloudWatch ロググループは指定された期間保持する必要があります |
NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
CloudWatch アラームアクションを有効にする必要があります |
NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
CodeBuild プロジェクト環境変数に、クリアテキストの認証情報を含めるべきでない |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
CodeBuild S3 ログは暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
CodeBuild プロジェクト環境にはログ記録の設定が必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CodeBuild プロジェクト環境では特権モードを有効にしないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
AWS Config を有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundation Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
定期的 |
|
|
DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。 |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
ターゲットデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
ソースデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
DMS エンドポイントは SSL を使用する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon DocumentDB クラスターは、保管中に暗号化する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
変更によってトリガーされる |
|
|
Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
変更によってトリガーされる |
|
|
Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon DocumentDB では、削除保護が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
DynamoDB テーブルはバックアッププランに含まれている必要があります |
NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
EBS スナップショットをパブリックに復元可能であってはなりません |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
定期的 |
|
|
VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
アタッチされた EBS ボリュームは、保管時に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
停止した EC2 インスタンスは、指定した期間後に削除する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
すべての VPC で VPC フローログ記録を有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
EBS のデフォルト暗号化を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
EC2 インスタンスは、パブリック IPv4 アドレスを未設定にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Amazon EC2 サービス用に作成された VPC エンドポイントを使用するように Amazon EC2 を設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
未使用の EC2 EIP を削除する必要があります |
PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
セキュリティグループは、0.0.0.0/0 からポート 22 への入力を許可しないようにする必要があります |
CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないことを確認する |
CIS AWS Foundations Benchmark v.1.2.0 |
HIGH |
変更によってトリガーされる |
|
|
EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
未使用のネットワークアクセスコントロールリストを削除する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
EC2 インスタンスは複数の ENI を使用しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
未使用の EC2 セキュリティグループを削除する必要があります |
サービスマネージドスタンダード: AWS Control Tower |
中 |
定期的 |
|
|
EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
EC2 準仮想化インスタンスタイプは使用しないでください |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
EC2 起動テンプレートはパブリック IP をネットワークインターフェイスに割り当ててはなりません |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
EBS ボリュームはバックアッププランに入っている必要があります |
NIST SP 800-53 Rev. 5 |
低 |
定期的 |
|
|
EC2 インスタンスは VPC 内にある必要があります |
NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ECS タスク定義では、ホストのプロセス名前空間を共有しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ECS コンテナは、非特権として実行する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
シークレットは、コンテナ環境の変数として渡さないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ECS タスク定義にはログ設定が必要です。 |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
ECS クラスターはコンテナインサイトを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Elastic File System は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
Amazon EFS ボリュームは、バックアッププランに含める必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
EFS アクセスポイントは、ルートディレクトリを適用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
EFS アクセスポイントは、ユーザー ID を適用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ElastiCache Redis クラスターでは自動バックアップを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
ElastiCache for Redis キャッシュクラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
ElastiCache レプリケーショングループでは自動フェイルオーバーを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
ElastiCache レプリケーショングループで保存中の暗号化が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
ElastiCache レプリケーショングループで転送中の暗号化が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
以前のバージョンの Redis の ElastiCache レプリケーショングループでは Redis AUTH を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります |
AWS Foundational Security Best Practices v1.0.0 |
HIGH |
変更によってトリガーされる |
|
|
Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
SSL/HTTPS リスナーを使用する Classic Load Balancer は、AWS Certificate Manager によって提供される証明書を使用する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Application Load Balancer は、http ヘッダーを削除するように設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Application Load Balancer で削除保護を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Classic Load Balancer は、Connection Draining を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
SSL リスナーを使用する Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります |
NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
定期的 |
|
|
Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Elasticsearch ドメインで監査ログ記録が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Elasticsearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります |
NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
GuardDuty を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
IAM ポリシーでは、完全な「*」管理権限を許可してはなりません |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
IAM ユーザーには IAM ポリシーをアタッチしてはなりません |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
IAM ユーザーのアクセスキーは 90 日以内ごとに更新する必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
IAM ルートユーザーのアクセスキーが存在してはいけません |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
重大 |
定期的 |
|
|
MFA は、コンソールパスワードを持つすべての IAM ユーザーに対して有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
ルートユーザーに対してハードウェア MFA を有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
重大 |
定期的 |
|
|
IAM ユーザーのパスワードポリシーには強力な設定が必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
未使用の IAM ユーザー認証情報は削除する必要があります |
CIS AWS Foundations Benchmark v1.2.0、AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
ルートユーザーに対して MFA を有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
重大 |
定期的 |
|
|
IAM ユーザーのパスワードポリシーには強力な設定が必要です |
PCI DSS v3.2.1 |
中 |
定期的 |
|
|
IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する |
CIS AWS Foundations Benchmark v.1.2.0 |
中 |
定期的 |
|
|
IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する |
CIS AWS Foundations Benchmark v.1.2.0 |
中 |
定期的 |
|
|
IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する |
CIS AWS Foundations Benchmark v.1.2.0 |
中 |
定期的 |
|
|
IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する |
CIS AWS Foundations Benchmark v.1.2.0 |
中 |
定期的 |
|
|
IAM パスワードポリシーにおいて、14 文字以上のパスワードが要求されるようにする |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
中 |
定期的 |
|
|
IAM パスワードポリシーはパスワードの再使用を禁止しています |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する |
CIS AWS Foundations Benchmark v.1.2.0 |
低 |
定期的 |
|
|
AWS Support でインシデントを管理するためのサポートロールが作成されていることを確認する |
CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 |
低 |
定期的 |
|
|
すべての IAM ユーザーに対して MFA を有効にする必要があります |
PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
ルートユーザーの使用を避ける |
CIS AWS Foundations Benchmark v.1.2.0 |
低 |
定期的 |
|
|
作成する IAM カスタマー管理ポリシーにはサービスのワイルドカードアクションを許可しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
45 日間未使用の IAM ユーザー認証情報は削除する必要があります |
CIS AWS Foundations Benchmark v.1.4.0 |
中 |
定期的 |
|
|
Kinesis Streams は、保管中に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用ないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS KMS keys を意図せずに削除されないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
AWS KMS key ローテーションを有効にする必要があります |
CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
Lambda 関数はサポートされているランタイムを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Lambda 関数は VPC 内に存在する必要があります |
PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
MSK クラスターはブローカーノード間の転送時に暗号化される必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります |
NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 |
NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
Neptune DB クラスターは、保管中に暗号化する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
定期的 |
|
|
Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
定期的 |
|
|
Neptune DB クラスタースナップショットはパブリックにしないでください |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
重大 |
変更によってトリガーされる |
|
|
Neptune DB クラスターでは、削除保護が有効になっている必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
低 |
変更によってトリガーされる |
|
|
Neptune DB クラスターでは、自動バックアップが有効になっている必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
変更によってトリガーされる |
|
|
Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
変更によってトリガーされる |
|
|
Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
変更によってトリガーされる |
|
|
Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
低 |
変更によってトリガーされる |
|
|
Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
ステートレスネットワークファイアウォールのルールグループを空にしないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Network Firewall は削除保護を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
OpenSearch ドメインは保管中の暗号化を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
OpenSearch ドメインがパブリックにアクセスできないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
OpenSearch ドメインでは、監査ログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
OpenSearch ドメインには少なくとも 3 つのデータノードが必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS スナップショットはプライベートである必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS DB インスタンスの拡張モニタリングを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
RDS クラスターでは、削除保護が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
RDS DB インスタンスで、削除保護が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
データベースログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
IAM 認証は RDS インスタンス用に設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon RDS インスタンスでは、自動バックアップが有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
IAM 認証は RDS クラスター用に設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS 自動マイナーバージョンアップグレードを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Amazon Aurora クラスターはバックトラッキングを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
RDS インスタンスは VPC 内にデプロイする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS DB インスタンスはバックアッププランで保護する必要があります |
NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
RDS DB クラスターは保管中に暗号化する必要があります |
AWS 基礎セキュリティのベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージド標準: AWS Control Tower |
中 |
変更によってトリガーされる |
|
|
Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
RDS DB クラスターではマイナーバージョンの自動アップグレードを有効にしておく必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によってトリガーされる |
|
|
Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Redshift クラスターは拡張 VPC ルーティングを使用する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Redshift クラスターでは、デフォルトのデータベース名を使用しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Redshift クラスターは保存時に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
S3 ブロックパブリックアクセス設定を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
S3 バケットではパブリック読み取りアクセスを禁止する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によるトリガーと定期的なトリガー |
|
|
S3 バケットはパブリック書き込みアクセスを禁止する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
重大 |
変更によるトリガーと定期的なトリガー |
|
|
S3 バケットでは、サーバー側の暗号化を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
S3 バケットでは、Secure Socket Layer を使用するためのリクエストの要求が必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
バケットポリシー内で別の AWS アカウント に付与された S3 許可は制限する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
S3 バケットでクロスリージョンレプリケーションを有効にする必要があります |
PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
S3 パブリックアクセスブロック設定は、バケットレベルで有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
S3 バケットサーバーアクセスログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
バージョニングが有効な S3 バケットでは、ライフサイクルポリシーを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
S3 バケットでは、イベント通知を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
バケットへのユーザーアクセスを管理用として、S3 アクセスコントロールリスト (ACL) を使用しないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
S3 バケットでは、ライフサイクルポリシーを設定する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
S3 バケットはバージョニングが有効になっている必要があります |
NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
S3 バケットはオブジェクトロックを使用するように設定する必要があります |
NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
S3 バケットは保存時に AWS KMS keys で暗号化する必要があります |
NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
HIGH |
定期的 |
|
|
SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
未使用の Secrets Manager のシークレットを削除します |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
SNS トピックは、AWS KMS を使用して保管中に暗号化する必要があります。 |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Amazon SQS キューは保管中に暗号化する必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
EC2 インスタンスは AWS Systems Manager により管理される必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
Systems Manager によって管理される EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
HIGH |
変更によってトリガーされる |
|
|
Systems Manager によって管理される EC2 インスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
低 |
変更によってトリガーされる |
|
|
SSM ドキュメントはパブリックにしないでください |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
重大 |
定期的 |
|
|
Step Functions ステートマシンでは、ログ記録がオンになっている必要があります |
AWS Foundational Security Best Practices |
中 |
変更によってトリガーされる |
|
|
AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
定期的 |
|
|
AWS WAF Classic リージョンルールには、1 つ以上の条件が必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS WAF Classic リージョンルールグループには、1 つ以上の条件が必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS WAF クラシックリージョンウェブ ACLs には、1 つ以上のルールまたはルールグループが必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS WAF Classic グローバルルールには、1 つ以上の条件が必要です |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS WAF Classic グローバルルールグループには、1 つ以上の条件が必要です |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS WAF Classic グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS WAF ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です |
AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
|
|
AWS WAF ウェブ ACL ログ記録を有効にする必要があります |
NIST SP 800-53 Rev. 5 |
低 |
定期的 |
|
|
AWS WAF ルールでは CloudWatch メトリクスが有効になっている必要があります |
AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 |
中 |
変更によってトリガーされる |
トピック
- AWS アカウント コントロール
- AWS Certificate Manager コントロール
- Amazon API Gateway コントロール
- AWS AppSync コントロール
- Amazon Athena コントロール
- AWS CloudFormation コントロール
- Amazon CloudFront コントロール
- AWS CloudTrail コントロール
- Amazon CloudWatch コントロール
- AWS CodeBuild コントロール
- AWS Config コントロール
- AWS Database Migration Service コントロール
- Amazon DocumentDB コントロール
- Amazon DynamoDB コントロール
- Amazon Elastic Container Registry のコントロール
- Amazon ECS コントロール
- Amazon Elastic Compute Cloud コントロール
- Amazon EC2 Auto Scaling コントロール
- Amazon EC2 Systems Manager コントロール
- Amazon Elastic File System のコントロール
- Amazon Elastic Kubernetes Service コントロール
- Amazon ElastiCache コントロール
- AWS Elastic Beanstalk コントロール
- Elastic Load Balancing のコントロール
- Amazon EMR コントロール
- Elasticsearch コントロール
- Amazon EventBridge コントロール
- Amazon GuardDuty のコントロール
- AWS Identity and Access Management コントロール
- Amazon Kinesis のコントロール
- AWS Key Management Service コントロール
- AWS Lambda コントロール
- Amazon MSK コントロール
- Amazon MQ コントロール
- Amazon Neptune コントロール
- AWS Network Firewall コントロール
- Amazon OpenSearch Service コントロール
- Amazon Relational Database Service コントロール
- Amazon Redshift のコントロール
- Amazon Route 53 のコントロール
- Amazon Simple Storage Service コントロール
- Amazon SageMaker コントロール
- AWS Secrets Manager コントロール
- Amazon Simple Notification Service コントロール
- Amazon Simple Queue Service コントロール
- AWS Step Functions コントロール
- AWS WAF コントロール
