翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールのリファレンス
このコントロールリファレンスには、 AWS Security Hub 使用可能なコントロールのリストと、各コントロールに関する詳細情報へのリンクが記載されています。概要テーブルには、コントロールがコントロール ID のアルファベット順に表示されます。このテーブルには、各コントロールの以下の情報が表示されます。
-
セキュリティコントロール ID — この ID AWS のサービス はあらゆる規格に適用され、コントロールが関連するリソースを示します。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロール ID が表示されます。ただし、Security Hub の検出結果がセキュリティコントロール ID を参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロール ID はコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub はコントロールのタイトルや説明を更新することがありますが、コントロール ID は変わりません。
コントロール ID は数字が飛ばされることがあります。これらは将来のコントロール用のプレースホルダーです。
-
適用される標準 — コントロールが適用される標準を示します。コントロールを選択すると、サードパーティのコンプライアンスフレームワークにおける特定の要件が表示されます。
-
セキュリティコントロールタイトル — このタイトルはあらゆる標準に適用されます。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
-
重要度 — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub がコントロールの重要度を決定する方法の詳細については、「コントロール結果への重要度の割り当て」を参照してください。
-
スケジュールタイプ — コントロールがいつ評価されるかを示します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
-
カスタムパラメータをサポート — コントロールが 1 つ以上のパラメータのカスタム値をサポートしているかどうかを示します。コントロールを選択すると、パラメータの詳細が表示されます。詳細については、「カスタムコントロールパラメータ」を参照してください。
詳細を表示するコントロールを選択します。コントロールはサービス名のアルファベット順にリストされています。
| セキュリティコントロール ID | セキュリティコントロールのタイトル | 適用される標準 | 緊急度 | カスタムパラメータをサポート | スケジュールタイプ |
|---|---|---|---|---|---|
| Account.1 | セキュリティ連絡先情報を提供する必要があります AWS アカウント | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | 定期的 | |
| Account.2 | AWS アカウント AWS Organizations 組織の一部であるべき | NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ACM.1 | インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によるトリガーと定期的なトリガー |
| ACM.2 | ACM が管理する RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0 | HIGH | |
変更によってトリガーされる |
| APIGateway.1 | API Gateway WebSocket REST と API 実行ロギングを有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| APIGateway.2 | API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| APIGateway.3 | API Gateway REST API AWS X-Ray ステージではトレースが有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| APIGateway.4 | API Gateway は、WAF ウェブ ACL に関連付けられている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| APIGateway.5 | API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| APIGateway.8 | API Gateway ルートには認証タイプを指定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| APIGateway.9 | API Gateway V2 ステージにアクセスログ記録を設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| AppSync.2. | AWS AppSync フィールドレベルのロギングを有効にする必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0 | 中 | |
変更によってトリガーされる |
| AppSync5. | AWS AppSync GraphQL API は API キーで認証されるべきではありません | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| Athena.1 | Athena ワークグループは、保管中に暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準: AWS Control Tower | 中 | |
変更によってトリガーされる |
| AutoScaling1. | Classic Load Balancer に関連付けられた 自動スケーリンググループは、ロードバランサーのヘルスチェックを使用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 AWS Control Tower Rev. 5 | 低 | |
変更によってトリガーされる |
| AutoScaling.2. | Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| AutoScaling.3. | Auto Scaling グループの起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| AutoScaling.4. | Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を超えることはできません | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| Autoscaling.5 | Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| AutoScaling6. | Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| AutoScaling.9. | EC2 Auto Scaling グループは EC2 起動テンプレートを使用する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Backup.1 | AWS Backup リカバリポイントは保存時に暗号化する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFormation5.1 | CloudFormation スタックはSimple Notification Service (SNS) と統合する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CloudFront5.1 | CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
| CloudFront.3. | CloudFront ディストリビューションでは転送時に暗号化が必要となるはずです。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.4 | CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CloudFront5.5 | CloudFront ディストリビューションではロギングが有効になっているはずです。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.6. | CloudFront ディストリビューションでは WAF が有効になっている必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront7.7 | CloudFront ディストリビューションではカスタム SSL/TLS 証明書を使用する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront8.8 | CloudFront ディストリビューションは SNI を使用して HTTPS リクエストを処理する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CloudFront9.9 | CloudFront ディストリビューションはカスタムオリジンへのトラフィックを暗号化する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront5.10 | CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジンの間で廃止予定の SSL プロトコルを使用しないでください。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront6.12 | CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| CloudFront1.3 | CloudFront ディストリビューションはオリジンアクセスコントロールを使うべきです | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0 | 中 | |
変更によってトリガーされる |
| CloudTrail1. | CloudTrail 読み取り/書き込み管理イベントを含むマルチリージョントレイルを少なくとも 1 つ有効にし、設定する必要があります。 | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
定期的 |
| CloudTrail.2. | CloudTrail 保存時の暗号化を有効にしておく必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、CIS Foundations Benchmark v1.4.0、NIST SP 800-53 AWS Control Tower Rev. 5 AWS | 中 | |
定期的 |
| CloudTrail.3. | CloudTrail 有効にする必要があります。 | PCI DSS v3.2.1 | HIGH | |
定期的 |
| CloudTrail4. | CloudTrail ログファイルの検証を有効にする必要があります。 | CIS AWS Foundations Benchmark v1.2.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービスマネージドスタンダード:、PCI DSS v3.2.1、CIS Foundations Benchmark v1.4.0、NIST SP AWS Control Tower 800-53 Rev. 5 AWS | 低 | |
定期的 |
| CloudTrail.5. | CloudTrail トレイルは Amazon CloudWatch ログと統合する必要があります | CIS Foundations Benchmark v1.2.0、 AWS AWS 基礎セキュリティベストプラクティス v1.0.0、サービスマネージドスタンダード:、PCI DSS v3.2.1、CIS Foundations Benchmark v1.4.0、NIST SP 800-53 AWS Control Tower Rev. 5 AWS | 低 | |
定期的 |
| CloudTrail.6. | CloudTrail ログの保存に使用する S3 バケットがパブリックにアクセスできないようにする | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 重大 | |
変更によるトリガーと定期的なトリガー |
| CloudTrail.7 | S3 バケットで S3 バケットアクセスロギングが有効になっていることを確認します。 CloudTrail | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.1 | 「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります | CIS AWS ファンデーションベンチマーク v1.2.0、PCI DSS v3.2.1、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.2. | 不正な API コールに対するログメトリクスフィルターとアラームが存在することを確認する | CIS AWS ファンデーション・ベンチマーク v1.2.0 | 低 | |
定期的 |
| CloudWatch.3. | MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS ファンデーション・ベンチマーク v1.2.0 | 低 | |
定期的 |
| CloudWatch.4. | MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。 | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.5. | CloudTrail 設定変更用のログメトリクスフィルタとアラームが存在することを確認してください。 | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.6 | AWS Management Console 認証に失敗した場合に備えて、ログメトリクスフィルタとアラームが存在することを確認してください。 | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.7 | カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.8 | S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.9 | AWS Config 設定変更用のログメトリクスフィルタとアラームが存在することを確認してください。 | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.10 | セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.11 | ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.12 | ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.13 | ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.14 | VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS ファンデーションベンチマーク v1.2.0、CIS ファンデーションベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| CloudWatch.15 | CloudWatch アラームには特定のアクションが設定されている必要があります。 | NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| CloudWatch.16 | CloudWatch ロググループは一定期間保持する必要があります。 | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| CloudWatch.17 | CloudWatch アラームアクションを有効にする必要があります。 | NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| CodeBuild1. | CodeBuild Bitbucket のソースリポジトリの URL には、機密性の高い認証情報を含めないでください。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 AWS Control Tower Rev. 5 | 重大 | 変更によってトリガーされる | |
| CodeBuild.2. | CodeBuild プロジェクト環境変数にはクリアテキストの認証情報を含めないでください。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP AWS Control Tower 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| CodeBuild3. | CodeBuild S3 ログは暗号化する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| CodeBuild.4. | CodeBuild プロジェクト環境にはロギング設定が必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| CodeBuild.5. | CodeBuild プロジェクト環境では特権モードを有効にしないでください。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| Config.1 | AWS Config 有効にする必要があります。 | CIS AWS Foundations Benchmark v1.2.0、ファンダメンタル・セキュリティ・ベスト・プラクティス v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 AWS | 中 | |
定期的 |
| DMS.1 | Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス AWS Control Tower v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| DMS.6 | DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DMS.7 | ターゲットデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DMS.8 | ソースデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DMS.9 | DMS エンドポイントは SSL を使用する必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DocumentDB.1 | Amazon DocumentDB クラスターは、保管中に暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス・マネージド・スタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| DocumentDB.2 | Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 中 | |
変更によってトリガーされる |
| DocumentDB.3 | Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| DocumentDB.4 | Amazon DocumentDB クラスターは監査ログをログに公開する必要があります CloudWatch | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DocumentDB.5 | Amazon DocumentDB では、削除保護が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DynamoDB.1 | DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| DynamoDB.2 | DynamoDB point-in-time テーブルではリカバリが有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| DynamoDB.3 | DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
定期的 |
| DynamoDB.4 | DynamoDB テーブルはバックアッププランに含まれている必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| DynamoDB.6 | DynamoDB テーブルで、削除保護が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.1 | EBS スナップショットをパブリックに復元可能であってはなりません | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 AWS Control Tower | 重大 | |
定期的 |
| EC2.2 | VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります | CIS Foundations Benchmark v1.2.0、 AWS AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、CIS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 AWS Control Tower AWS | HIGH | |
変更によってトリガーされる |
| EC2.3 | アタッチされた EBS ボリュームは、保管時に暗号化する必要があります | AWS 基礎セキュリティ・ベスト・プラクティス AWS Control Tower v1.0.0、サービス管理規格:、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.4 | 停止した EC2 インスタンスは、指定した期間後に削除する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| EC2.6 | すべての VPC で VPC フローログ記録を有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、CIS Foundation Benchmark v1.4.0、NIST SP 800-53 Rev. 5 AWS Control Tower AWS | 中 | |
定期的 |
| EC2.7 | EBS のデフォルト暗号化を有効にする必要があります | AWS 基礎セキュリティ・ベスト・プラクティス AWS Control Tower v1.0.0、 AWS サービス管理標準:、CIS 基盤ベンチマーク v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EC2.8 | EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | AWS 基本セキュリティベストプラクティス v1.0.0、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.9 | EC2 インスタンスは、パブリック IPv4 アドレスを未設定にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| EC2.10 | Amazon EC2 サービス用に作成された VPC エンドポイントを使用するように Amazon EC2 を設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| EC2.12 | 未使用の EC2 EIP を削除する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EC2.13 | セキュリティグループは 0.0.0.0/0 または:: /0 からポート 22 への進入を許可すべきではありません | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.14 | セキュリティグループは 0.0.0.0/0 または:: /0 からポート 3389 への進入を許可すべきではありません | AWS CIS ファンデーションベンチマーク v1.2.0 | HIGH | |
変更によってトリガーされる |
| EC2.15 | EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| EC2.16 | 未使用のネットワークアクセスコントロールリストを削除する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| EC2.17 | EC2 インスタンスは複数の ENI を使用しないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| EC2.18 | セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| EC2.19 | セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 重大 | |
変更によってトリガーされる |
| EC2.20 | AWS Site-to-Site VPN 接続の VPN トンネルは両方とも稼働している必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| EC2.21 | ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、CIS 基盤ベンチマーク v1.4.0、NIST SP 800-53 改訂 5 AWS Control Tower AWS | 中 | |
変更によってトリガーされる |
| EC2.22 | 未使用の EC2 セキュリティグループを削除する必要があります | サービスマネージドスタンダード: AWS Control Tower | 中 | 定期的 | |
| EC2.23 | EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けないようにする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.24 | EC2 準仮想化インスタンスタイプは使用しないでください | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.25 | EC2 起動テンプレートはパブリック IP をネットワークインターフェイスに割り当ててはなりません | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| EC2.28 | EBS ボリュームはバックアッププランに入っている必要があります | NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| EC2.51 | EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 低 | |
変更によってトリガーされる |
| ECR.1 | ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
定期的 |
| ECR.2 | ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ECR.3 | ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ECS.1 | Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| ECS.2 | Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| ECS.3 | ECS タスク定義では、ホストのプロセス名前空間を共有しないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| ECS.4 | ECS コンテナは、非特権として実行する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| ECS.5 | ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| ECS.8 | シークレットは、コンテナ環境の変数として渡さないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| ECS.9 | ECS タスク定義にはログ設定が必要です。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | HIGH | |
変更によってトリガーされる |
| ECS.10 | ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ECS.12 | ECS クラスターはコンテナインサイトを使用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| EFS.1 | Elastic File System は、以下を使用して保存中のファイルデータを暗号化するように設定する必要があります。 AWS KMS | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| EFS.2 | Amazon EFS ボリュームは、バックアッププランに含める必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| EFS.3 | EFS アクセスポイントは、ルートディレクトリを適用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| EFS.4 | EFS アクセスポイントは、ユーザー ID を適用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| EKS.1 | EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | HIGH | |
定期的 |
| EKS.2 | EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| EKS.8 | EKS クラスターでは、監査ログ記録が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
定期的 |
| ElastiCache5.1 | ElastiCache Redis クラスターでは自動バックアップが有効になっている必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ElastiCache.2 | ElastiCache Redis キャッシュクラスターの場合、マイナーバージョンauto アップグレードが有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ElastiCache.3. | ElastiCache レプリケーショングループでは自動フェールオーバーを有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.4 | ElastiCache encryption-at-rest レプリケーショングループが有効になっているはずです。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache5.5 | ElastiCache encryption-in-transit レプリケーショングループが有効になっているはずです。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.6. | ElastiCache 以前の Redis バージョンのレプリケーショングループでは Redis AUTH が有効になっている必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
定期的 |
| ElastiCache7.7 | ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ElasticBeanstalk5.1 | Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| ElasticBeanstalk.2. | Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| ElasticBeanstalk.3. | Elastic Beanstalk はログを次の宛先にストリーミングする必要があります CloudWatch | AWS 基本的なセキュリティベストプラクティス v1.0.0 | HIGH | |
変更によってトリガーされる |
| ELB.1 | Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| ELB.2 | SSL/HTTPS リスナーを使用する Classic Load Balancer は、 AWS Certificate Manager によって提供される証明書を使用する必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.3 | Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.4 | Application Load Balancer は、http ヘッダーを削除するように設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.5 | アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.6 | Application Load Balancer で削除保護を有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.7 | Classic Load Balancer は、Connection Draining を有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.8 | SSL リスナーを使用する Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.9 | Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.10 | Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.12 | Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.13 | Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.14 | Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ELB.16 | アプリケーションロードバランサーはウェブ ACL に関連付ける必要があります。 AWS WAF | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EMR.1 | Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
定期的 |
| EMR.2 | Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 重大 | |
定期的 |
| ES.1 | Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| ES.2 | Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 改訂 5 AWS Control Tower | 重大 | |
定期的 |
| ES.3 | Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ES.4 | Elasticsearch CloudWatch ドメインエラーのログへのロギングを有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ES.5 | Elasticsearch ドメインで監査ログ記録が有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ES.6 | Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ES.7 | Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| ES.8 | Elasticsearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります。 | AWS 基本的なセキュリティベストプラクティス、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | 変更によってトリガーされる | |
| EventBridge3. | EventBridge カスタム・イベント・バスにはリソースベースのポリシーをアタッチする必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EventBridge.4 | EventBridge グローバルエンドポイントではイベントレプリケーションが有効になっている必要があります。 | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| FSx.1 | FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| GuardDuty5.1 | GuardDuty 有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP AWS Control Tower 800-53 Rev. 5 | HIGH | |
定期的 |
| IAM.1 | IAM ポリシーでは、完全な「*」管理権限を許可してはなりません | CIS Foundations Benchmark v1.2.0、 AWS AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、CIS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 AWS Control Tower AWS | HIGH | |
変更によってトリガーされる |
| IAM.2 | IAM ユーザーには IAM ポリシーをアタッチしてはなりません | CIS AWS Foundations Benchmark v1.2.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| IAM.3 | IAM ユーザーのアクセスキーは 90 日以内ごとに更新する必要があります | CIS 基盤ベンチマーク v1.2.0、基礎セキュリティベストプラクティス v1.0.0、サービス管理標準:、CIS AWS 基盤ベンチマーク v1.4.0、NIST SP 800-53 Rev. 5 AWS AWS Control Tower AWS | 中 | |
定期的 |
| IAM.4 | IAM ルートユーザーのアクセスキーが存在してはいけません | CIS AWS Foundations Benchmark v1.2.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| IAM.5 | MFA は、コンソールパスワードを持つすべての IAM ユーザーに対して有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.6 | ルートユーザーに対してハードウェア MFA を有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS 基礎セキュリティベストプラクティス v1.0.0、サービス管理標準: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| IAM.7 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | AWS 基礎セキュリティ・ベスト・プラクティス AWS Control Tower v1.0.0、サービス管理規格:、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.8 | 未使用の IAM ユーザー認証情報は削除する必要があります | CIS AWS Foundations Benchmark v1.2.0、基礎セキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST AWS SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| IAM.9 | ルートユーザーに対して MFA を有効にする必要があります | CIS AWS 基盤ベンチマーク v1.2.0、PCI DSS v3.2.1 AWS 、CIS 基盤ベンチマーク v1.4.0、NIST SP 800-53 改訂 5 | 重大 | |
定期的 |
| IAM.10 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | PCI DSS v3.2.1 | 中 | |
定期的 |
| IAM.11 | IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する | CIS AWS ファンデーションズ・ベンチマーク v1.2.0 | 中 | |
定期的 |
| IAM.12 | IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する | CIS AWS ファンデーションベンチマーク v1.2.0 | 中 | |
定期的 |
| IAM.13 | IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する | CIS AWS ファンデーションベンチマーク v1.2.0 | 中 | |
定期的 |
| IAM.14 | IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する | CIS AWS ファンデーションベンチマーク v1.2.0 | 中 | |
定期的 |
| IAM.15 | IAM パスワードポリシーにおいて、14 文字以上のパスワードが要求されるようにする | CIS ファンデーションベンチマーク v1.2.0、CIS AWS ファンデーションベンチマーク v1.4.0 AWS | 中 | |
定期的 |
| IAM.16 | IAM パスワードポリシーはパスワードの再使用を禁止しています | CIS AWS ファンデーションベンチマーク v1.2.0、CIS AWS ファンデーションベンチマーク v1.4.0 | 低 | |
定期的 |
| IAM.17 | IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する | CIS AWS ファンデーション・ベンチマーク v1.2.0 | 低 | |
定期的 |
| IAM.18 | インシデントを管理するためのサポートロールが作成されていることを確認してください。 AWS Support | CIS AWS 財団ベンチマーク v1.2.0、CIS 財団ベンチマーク v1.4.0 AWS | 低 | |
定期的 |
| IAM.19 | すべての IAM ユーザーに対して MFA を有効にする必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.20 | ルートユーザーの使用を避ける | CIS AWS ファンデーション・ベンチマーク v1.2.0 | 低 | |
定期的 |
| IAM.21 | 作成する IAM カスタマー管理ポリシーにはサービスのワイルドカードアクションを許可しないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| IAM.22 | 45 日間未使用の IAM ユーザー認証情報は削除する必要があります | AWS CIS 基盤ベンチマーク v1.4.0 | 中 | |
定期的 |
| Kinesis.1 | Kinesis Streams は、保管中に暗号化する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| KMS.1 | IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| KMS.2 | IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用ないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| KMS.3 | AWS KMS keys 意図せずに削除してはいけません。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 重大 | |
変更によってトリガーされる |
| KMS.4 | AWS KMS key ローテーションを有効にする必要があります。 | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、CIS Foundations Benchmark v1.4.0、 AWS NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| Lambda.1 | Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります | AWS 基礎セキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 AWS Control Tower | 重大 | |
変更によってトリガーされる |
| Lambda.2 | Lambda 関数はサポートされているランタイムを使用する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Lambda.3 | Lambda 関数は VPC 内に存在する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Lambda.5 | VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Macie.1 | Amazon Macie が有効になっているはずです | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| Macine.2 | Macie の自動機密データ検出を有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | 定期的 | |
| MSK.1 | MSK クラスターはブローカーノード間の転送時に暗号化される必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| MSK.2 | MSK クラスターでは、拡張モニタリングを設定する必要があります | NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| MQ.5 | ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります | NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| MQ.6 | RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 | NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Neptune.1 | Neptune DB クラスターは、保管中に暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス・マネージド・スタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.2 | Neptune DB クラスターは監査ログをログに公開する必要があります CloudWatch | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.3 | Neptune DB クラスタースナップショットはパブリックにしないでください | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 重大 | |
変更によってトリガーされる |
| Neptune.4 | Neptune DB クラスターでは、削除保護が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 低 | |
変更によってトリガーされる |
| Neptune.5 | Neptune DB クラスターでは、自動バックアップが有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.6 | Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.7 | Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.8 | Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 低 | |
変更によってトリガーされる |
| Neptune.9 | Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.1. | Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.2 | Network Firewall ログ記録を有効にする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| NetworkFirewall.3. | Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| NetworkFirewall.4. | Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| NetworkFirewall.5. | Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| NetworkFirewall6. | ステートレスネットワークファイアウォールのルールグループを空にしないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| NetworkFirewall.9. | Network Firewall は削除保護を有効にする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.1 | OpenSearch ドメインでは保存時暗号化を有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP AWS Control Tower 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.2 | OpenSearch ドメインはパブリックにアクセス可能であってはなりません。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP AWS Control Tower 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| Opensearch.3 | OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Opensearch.4 | OpenSearch Logs CloudWatch へのドメインエラーロギングを有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Opensearch.5 | OpenSearch ドメインでは監査ログが有効になっている必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Opensearch.6 | OpenSearch ドメインには少なくとも 3 つのデータノードが必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Opensearch.7 | OpenSearch ドメインではきめ細かいアクセス制御が有効になっている必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| Opensearch.8 | ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります。 OpenSearch | AWS 基本的なセキュリティベストプラクティス、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| Opensearch.10 | OpenSearch ドメインには最新のソフトウェアアップデートがインストールされている必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| PCA.1 | AWS Private CA ルート認証局は無効にする必要があります。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| RDS.1 | RDS スナップショットはプライベートである必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 AWS Control Tower | 重大 | |
変更によってトリガーされる |
| RDS.2 | RDS DB インスタンスは、 PubliclyAccessible 設定に従ってパブリックアクセスを禁止する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| RDS.3 | RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、CIS 基盤ベンチマーク v1.4.0、NIST SP 800-53 改訂 5 AWS Control Tower AWS | 中 | |
変更によってトリガーされる |
| RDS.4 | RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります | AWS 基本セキュリティベストプラクティス v1.0.0、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.5 | RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| RDS.6 | RDS DB インスタンスの拡張モニタリングを設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.7 | RDS クラスターでは、削除保護が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 低 | |
変更によってトリガーされる |
| RDS.8 | RDS DB インスタンスで、削除保護が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.9 | RDS DB CloudWatch インスタンスはログにログを公開する必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| RDS.10 | IAM 認証は RDS インスタンス用に設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| RDS.11 | Amazon RDS インスタンスでは、自動バックアップが有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| RDS.12 | IAM 認証は RDS クラスター用に設定する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
変更によってトリガーされる |
| RDS.13 | RDS 自動マイナーバージョンアップグレードを有効にする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| RDS.14 | Amazon Aurora クラスターはバックトラッキングを有効にする必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
変更によってトリガーされる |
| RDS.15 | RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.16 | タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.17 | RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.18 | RDS インスタンスは VPC 内にデプロイする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| RDS.19 | 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.20 | 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.21 | 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.22 | 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.23 | RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| RDS.24 | RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
変更によってトリガーされる |
| RDS.25 | RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| RDS.26 | RDS DB インスタンスはバックアッププランで保護する必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| RDS.27 | RDS DB クラスターは保管中に暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5、サービス管理標準: AWS Control Tower | 中 | |
変更によってトリガーされる |
| RDS.34 | Aurora MySQL DB クラスターは監査ログをログに公開する必要があります CloudWatch | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.35 | RDS DB クラスターではマイナーバージョンの自動アップグレードを有効にしておく必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.1 | Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 AWS Control Tower | 重大 | |
変更によってトリガーされる |
| Redshift.2 | Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Redshift.3 | Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
変更によってトリガーされる |
| Redshift.4 | Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Redshift.6 | Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Redshift.7 | Redshift クラスターは拡張 VPC ルーティングを使用する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Redshift.8 | Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Redshift.9 | Redshift クラスターでは、デフォルトのデータベース名を使用しないでください | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Redshift.10 | Redshift クラスターは保存時に暗号化する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| Route53.2 | Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 リビジョン 5 | 中 | |
変更によってトリガーされる |
| S3.1 | S3 汎用バケットでは、パブリックアクセスをブロックする設定が有効になっている必要があります。 | AWS 基本的なセキュリティベストプラクティス、サービスマネージドスタンダード:、PCI DSS v3.2.1 AWS Control Tower、 AWS CIS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| S3.2 | S3 汎用バケットはパブリック読み取りアクセスをブロックする必要がある | AWS 基本的なセキュリティベストプラクティス、サービスマネージドスタンダード:、PCI DSS v3.2.1 AWS Control Tower、NIST SP 800-53 Rev. 5 | 重大 | 変更によるトリガーと定期的なトリガー | |
| S3.3 | S3 汎用バケットはパブリック書き込みアクセスをブロックする必要がある | AWS 基本的なセキュリティベストプラクティス、サービスマネージドスタンダード:、PCI DSS v3.2.1 AWS Control Tower、NIST SP 800-53 Rev. 5 | 重大 | 変更によるトリガーと定期的なトリガー | |
| S3.5 | S3 汎用バケットには SSL を使用するリクエストが必要です。 | AWS 基本的なセキュリティベストプラクティス、サービスマネージドスタンダード:、PCI DSS v3.2.1 AWS Control Tower、 AWS CIS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.6 | S3 の汎用バケットポリシーでは、他のユーザーへのアクセスを制限する必要がある AWS アカウント | AWS 基本的なセキュリティベストプラクティス、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
| S3.7 | S3 汎用バケットではクロスリージョンレプリケーションを使用する必要があります。 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.8 | S3 汎用バケットはパブリックアクセスをブロックする必要があります。 | AWS 基本的なセキュリティベストプラクティス、サービスマネージドスタンダード:、CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
| S3.9 | S3 汎用バケットでは、サーバーアクセスロギングが有効になっている必要があります | AWS 基本的なセキュリティベストプラクティス、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.10 | バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | AWS 基本的なセキュリティベストプラクティス、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.11 | S3 汎用バケットでは、イベント通知が有効になっている必要があります。 | AWS 基本的なセキュリティベストプラクティス、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.12 | ACL は S3 汎用バケットへのユーザーアクセスの管理には使用しないでください。 | AWS 基本的なセキュリティベストプラクティス、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.13 | S3 汎用バケットにはライフサイクル設定が必要です。 | AWS 基本的なセキュリティベストプラクティス、サービス管理標準: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.14 | S3 汎用バケットではバージョニングが有効になっている必要があります。 | NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.15 | S3 汎用バケットではオブジェクトロックが有効になっている必要があります。 | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.17 | S3 汎用バケットは保存時に以下のように暗号化する必要があります。 AWS KMS keys | サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 リビジョン 5 | 中 | 変更によってトリガーされる | |
| S3.19 | S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWS 基本的なセキュリティのベストプラクティス、NIST SP 800-53 改訂 5 | 重大 | 変更によってトリガーされる | |
| S3.20 | S3 汎用バケットでは MFA 削除が有効になっている必要があります | CIS AWS 基盤ベンチマーク v1.4.0、NIST SP 800-53 改訂 5 | 低 | 変更によってトリガーされる | |
| SageMaker5.1 | Amazon SageMaker ノートブックインスタンスはインターネットに直接アクセスしてはいけません | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービスマネージド標準:、PCI DSS v3.2.1、NIST SP AWS Control Tower 800-53 Rev. 5 | HIGH | |
定期的 |
| SageMaker.2. | SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| SageMaker.3. | SageMaker ユーザーにはノートブックインスタンスへのルートアクセス権があってはなりません。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| SecretsManager.1. | Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| SecretsManager.2. | 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| SecretsManager.3. | 未使用の Secrets Manager のシークレットを削除します | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| SecretsManager.4. | Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期的 |
| SNS.1 | SNS トピックは、保存時に以下を使用して暗号化する必要があります。 AWS KMS | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| SNS.2 | トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| SQS.1 | Amazon SQS キューは保管中に暗号化する必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| SSM.1 | EC2 インスタンスは以下によって管理される必要があります AWS Systems Manager | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービスマネージドスタンダード:、PCI DSS v3.2.1、NIST SP AWS Control Tower 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| SSM.2 | Systems Manager によって管理される EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 改訂 5 AWS Control Tower | HIGH | |
変更によってトリガーされる |
| SSM.3 | Systems Manager によって管理される EC2 インスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、PCI DSS v3.2.1、NIST SP 800-53 改訂 5 AWS Control Tower | 低 | |
変更によってトリガーされる |
| SSM.4 | SSM ドキュメントはパブリックにしないでください | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 重大 | |
定期的 |
| StepFunctions.1. | Step Functions ステートマシンでは、ログ記録がオンになっている必要があります | AWS 基本的なセキュリティ・ベスト・プラクティス | 中 | |
変更によってトリガーされる |
| WAF.1 | AWS WAF クラシックグローバル Web ACL ロギングを有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| WAF.2 | AWS WAF クラシック・リージョナル・ルールには少なくとも 1 つの条件が必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| WAF.3 | AWS WAF クラシック・リージョナル・ルール・グループには少なくとも 1 つのルールが必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| WAF.4 | AWS WAF クラシックリージョナルウェブ ACL には少なくとも 1 つのルールまたはルールグループが必要です | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| WAF.6 | AWS WAF クラシック・グローバル・ルールには少なくとも 1 つの条件が必要です。 | AWS 基本的なセキュリティ・ベスト・プラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.7 | AWS WAF クラシック・グローバル・ルール・グループには少なくとも 1 つのルールが必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.8 | AWS WAF 従来のグローバルウェブ ACL には少なくとも 1 つのルールまたはルールグループが必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.10 | AWS WAF ウェブ ACL には少なくとも 1 つのルールまたはルールグループが必要です。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、サービス管理標準:、NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
変更によってトリガーされる |
| WAF.11 | AWS WAF ウェブ ACL ロギングを有効にする必要があります。 | NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| WAF.12 | AWS WAF CloudWatch ルールではメトリクスを有効にする必要があります。 | AWS 基本的なセキュリティベストプラクティス v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
トピック
- AWS アカウント コントロール
- AWS Certificate Manager コントロール
- Amazon API Gateway コントロール
- AWS AppSync コントロール
- Amazon Athena コントロール
- AWS Backup コントロール
- AWS CloudFormation コントロール
- Amazon CloudFront コントロール
- AWS CloudTrail コントロール
- Amazon CloudWatch コントロール
- AWS CodeBuild コントロール
- AWS Config コントロール
- AWS Database Migration Service コントロール
- Amazon DocumentDB コントロール
- Amazon DynamoDB コントロール
- Amazon Elastic Container Registry のコントロール
- Amazon ECS コントロール
- Amazon Elastic Compute Cloud コントロール
- Amazon EC2 Auto Scaling コントロール
- Amazon EC2 Systems Manager コントロール
- Amazon Elastic File System のコントロール
- Amazon Elastic Kubernetes Service コントロール
- Amazon ElastiCache コントロール
- AWS Elastic Beanstalk コントロール
- Elastic Load Balancing のコントロール
- Amazon EMR コントロール
- Elasticsearch コントロール
- Amazon EventBridge コントロール
- Amazon FSx コントロール
- Amazon GuardDuty コントロール
- AWS Identity and Access Management コントロール
- Amazon Kinesis のコントロール
- AWS Key Management Service コントロール
- AWS Lambda コントロールします。
- Amazon Macie コントロール
- Amazon MSK コントロール
- Amazon MQ コントロール
- Amazon Neptune コントロール
- AWS Network Firewall コントロールします。
- Amazon OpenSearch サービスコントロール
- AWS Private Certificate Authority コントロール
- Amazon Relational Database Service コントロール
- Amazon Redshift のコントロール
- Amazon Route 53 のコントロール
- Amazon Simple Storage Service コントロール
- Amazon SageMaker コントロール
- AWS Secrets Manager コントロール
- Amazon Simple Notification Service コントロール
- Amazon Simple Queue Service コントロール
- AWS Step Functions 制御します。
- AWS WAF コントロール
