リージョンの制限 - AWS Security Hub

リージョンの制限

一部の AWS Security Hub 機能は、一部の AWS リージョンでのみ使用可能です。以下のセクションでは、これらのリージョン制限を示します。

クロスリージョン集約の制限

クロスリージョン集約は、AWS GovCloud (US) Region では利用できません。中国リージョンでは、クロスリージョン集約は、中国リージョン内のみで利用できます (具体的には、中国 (北京) から中国 (寧夏) まで、あるいはその逆でデータを集約できます)。

デフォルトで無効になっているリージョンは、集約リージョンとして使用できません。デフォルトで無効になっているリージョンのリストについては、「AWS 全般のリファレンス」の「リージョンを有効にする」を参照してください。

すべてのリージョンで統合がサポートされているわけではりません

一部のリージョンでは統合を利用できない場合があります。特定のリージョンで統合を使用できない場合は、そのリージョンを選択したとき、そのリージョンは Security Hub コンソールの [Integrations] (統合) ページに表示されません。

中国 (北京) および中国 (寧夏) でサポートされている統合

中国 (北京) および中国 (寧夏) リージョンは、以下の AWS サービスとの統合のみをサポートしています。

  • AWS Firewall Manager

  • Amazon GuardDuty

  • IAM Access Analyzer

  • Systems Manager Explorer

  • Systems Manager OpsCenter

  • Systems Manager Patch Manager

中国 (北京) および中国 (寧夏) リージョンは、以下のサードパーティーの統合のみをサポートしています。

  • Cloud Custodian

  • FireEye Helix

  • Helecloud

  • IBM QRadar

  • PagerDuty

  • Palo Alto Networks Cortex XSOAR

  • Palo Alto Networks VM-Series

  • Prowler

  • RSA Archer

  • Splunk Enterprise

  • Splunk Phantom

  • ThreatModeler

AWS GovCloud (米国東部) と AWS GovCloud (米国西部) でサポートされている統合

AWS GovCloud (米国東部) と AWS GovCloud (米国西部) リージョンは次の AWS サービスとの統合のみをサポートしています。

  • Amazon Detective

  • AWS Firewall Manager

  • Amazon GuardDuty

  • Amazon Inspector

  • IAM Access Analyzer

AWS GovCloud (米国東部) と AWS GovCloud (米国西部) リージョンは次のサードパーティーの統合のみをサポートしています。

  • Atlassian Jira Service Manager

  • Atlassian OpsGenie

  • Caveonix Cloud

  • Cloud Custodian

  • Cloud Storage Security Antivirus for Amazon S3

  • cloudtamer.io

  • CrowdStrike Falcon

  • FireEye Helix

  • Forcepoint CASB

  • Forcepoint DLP

  • Forcepoint NGFW

  • MicroFocus ArcSight

  • NETSCOUT Cyber Investigator

  • PagerDuty

  • Palo Alto Networks – Prisma Cloud Compute

  • Palo Alto Networks – Prisma Cloud Enterprise

  • Palo Alto Networks – VM-Series

  • Prowler

  • Rackspace Technology – Cloud Native Security

  • Rapid7 InsightConnect

  • RSA Archer

  • SecureCloudDb

  • ServiceNow ITSM

  • Slack

  • ThreatModeler

  • Vectra AI Cognito Detect

リージョン全域でサポートされていないコントロール

以下のリージョンでは、Security Hub のすべてのコントロールがサポートされていません。各リージョンについて、サポートされていないコントロールをリストにまとめています。

米国東部 (オハイオ)

米国東部 (オハイオ) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

米国西部 (北カリフォルニア)

米国西部 (北カリフォルニア) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

米国西部 (オレゴン)

米国西部 (オレゴン) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アフリカ (ケープタウン)

アフリカ (ケープタウン) では、以下のコントロールはサポートされていません。

CIS AWS Foundations Benchmark 標準

1.4 - アクセスキーが 90 日以内にローテーションされることを確認する

1.20 - AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します。

4.1 - どのセキュリティグループも 0.0.0.0/0 からポート 22 への入力を許可していないことを確認する

4.2 - どのセキュリティグループも 0.0.0.0/0 からポート 3389 への入力を許可していないことを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要がある

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めるべきではない

[PCI.DMS.1] AWS Database Migration Service レプリケーションインスタンスはパブリックではない必要がある

[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元できない

[PCI.EC2.4] 未使用の EC2 EIP を削除する必要がある

[PCI.EC2.5] どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可していない必要がある

[PCI.ELBV2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要がある

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.IAM.1] IAM ルートユーザーのアクセスキーが存在していてはならない

[PCI.RDS.1] Amazon RDS スナップショットでパブリックアクセスを禁止する必要があります

[PCI.SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要がある

[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要がある

[PCI.SSM.2] Systems Manager によって管理されるインスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要がある

AWS Foundational Security Best Practices 標準

[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

[APIGateway.1] API Gateway REST および WebSocket API ログ記録を有効にする必要があります

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[DMS.1] AWS Database Migration Service レプリケーションインスタンスは、パブリックでない必要があります

[EC2.1] Amazon EBS スナップショットはパブリックにしないでください。これは、誰でも復元可能であるかどうかを基に判断されます。

[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

[EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります

[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

[ELB.2] HTTPS/SSL リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.4] Application Load Balancer は、HTTP ヘッダーを削除するように設定する必要があります

[ELB.8] HTTPS/SSL リスナーを使用する Classic Load Balancers は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[EMR.1] Amazon EMR クラスターマスターノードは、パブリック IP アドレスを設定していない必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.9] データベースログ記録を有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。

[SSM.3] Systems Manager によって管理されるインスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (香港)

アジアパシフィック (香港) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (ジャカルタ)

以下のコントロールはアジアパシフィック (ジャカルタ) ではサポートされていません。

CIS AWS Foundations Benchmark 標準

1.12 - ルートユーザーのアクセスキーが存在しないことを確認する

1.20 - AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します。

2.9 - すべての VPC で VPC フローログ記録が有効であることを確認する

4.1 - どのセキュリティグループも 0.0.0.0/0 からポート 22 への入力を許可していないことを確認する

4.2 - どのセキュリティグループも 0.0.0.0/0 からポート 3389 への入力を許可していないことを確認する

4.3 - すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限していることを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要がある

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めるべきではない

[PCI.DMS.1] AWS Database Migration Service レプリケーションインスタンスはパブリックではない必要がある

[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元できない

[PCI.EC2.2] VPC のデフォルトのセキュリティグループで、インバウンドトラフィックとアウトバウンドトラフィックを禁止する必要がある

[PCI.EC2.5] どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可していない必要がある

[PCI.EC2.6] すべての VPC で VPC フローログ記録を有効にする必要がある

[PCI.ELBV2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要がある

[PCI.ES.1] Elasticsearch ドメインは VPC 内に存在する必要がある

[PCI.ES.2] Elasticsearch ドメインで保管中の暗号化を有効にする必要がある

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.IAM.1] IAM ルートユーザーのアクセスキーが存在していてはならない

[PCI.Lambda.2] Lambda 関数は VPC 内に存在する必要がある

[PCI.OpenSearch.1] Amazon OpenSearch Service ドメインは VPC 内に存在している必要がある

[PCI.OpenSearch.2] OpenSearch ドメインは保管中の暗号化を有効にする必要がある

[PCI.RDS.1] Amazon RDS スナップショットでパブリックアクセスを禁止する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要がある

[PCI.SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要がある

[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要がある

[PCI.SSM.2] Systems Manager によって管理されるインスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要がある

[PCI.SSM.3] EC2 インスタンスは AWS Systems Manager により管理される必要がある

AWS Foundational Security Best Practices 標準

[APIGateway.1] API Gateway REST および WebSocket API ログ記録を有効にする必要があります

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、AWS WAF ウェブ ACL に関連付けられている必要があります

[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

[AutoScaling.3] Auto Scaling グループは、EC2 インスタンスを、Instance Metadata Service Version 2 (IMDSv2) を必要とするように設定する必要があります

[AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を越えることはできません

[AutoScaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

[DMS.1] AWS Database Migration Service レプリケーションインスタンスは、パブリックでない必要があります

[DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

[EC2.1] Amazon EBS スナップショットはパブリックにしないでください。これは、誰でも復元可能であるかどうかを基に判断されます。

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックとアウトバウンドトラフィックを許可しないようにする必要があります

[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

[EC2.6] すべての VPC で VPC フローログ記録を有効にする必要があります

[EC2.7] EBS のデフォルト暗号化を有効にする必要があります

[EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります

[EC2.9] EC2 インスタンスは、パブリック IP アドレスが設定されていない必要があります

[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定する必要があります

[EC2.15] EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.17] EC2 インスタンスは複数の ENI を使用しないでください

[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入をを許可しないようにする必要があります

[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[EC2.27] 実行中の EC2 インスタンスでは、キーペア (廃止) を使用しないでください

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.5] ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.10] Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要があります。

[ECS.12] ECS クラスターでは、Container Insights を有効にする必要があります

[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります

[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

[ELB.2] HTTPS/SSL リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります

[ELB.4] Application Load Balancer は、HTTP ヘッダーを削除するように設定する必要があります

[ELB.6] Application Load Balancer で削除保護を有効にする必要があります

[ELB.8] HTTPS/SSL リスナーを使用する Classic Load Balancers は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります

[ELB.10] Classic Load Balancers は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.12] Application Load Balancerは、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

[ELB.13] アプリケーション、ネットワーク、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[EMR.1] Amazon EMR クラスターマスターノードは、パブリック IP アドレスを設定していない必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインは VPC 内に存在する必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[KMS.1] IAM カスタマーマネージドポリシーでは、すべての KMS キーの復号化と再暗号化アクションを許可してはいけません

[KMS.2] IAM プリンシパルは、すべての KMS キーで復号化および再暗号化アクションを許可する IAM インラインポリシーを使用するべきではありません

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります

[RDS.6] RDS DB インスタンスとクラスターの拡張モニタリングを設定する必要があります

[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります

[RDS.9] データベースログ記録を有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.11] Amazon RDS インスタンスでは、自動バックアップが有効になっている必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザーネームを使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

[S3.10] バージョニングが有効な S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[S3.11] S3 バケットでは、イベント通知を有効にする必要があります

[S3.12] バケットへのユーザーアクセスを管理用として、S3 アクセスコントロールリスト (ACL) を使用しないでください

[S3.13] S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります

[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります

[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

[SNS.1] SNS トピックは、AWS KMS を使用して保管中に暗号化する必要があります。

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

[SSM.1] EC2 インスタンスは AWS Systems Manager により管理される必要があります

[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。

[SSM.3] Systems Manager によって管理されるインスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.2] WAF リージョンルールには、1 つ以上の条件が必要です

[WAF.3] WAF リージョンルールグループには、1 つ以上の条件が必要です

[WAF.4] WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (ムンバイ)

アジアパシフィック (ムンバイ) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (大阪)

アジアパシフィック (大阪) では、以下のコントロールはサポートされていません。

CIS AWS Foundations Benchmark 標準

1.12 - ルートユーザーのアクセスキーが存在しないことを確認する

1.20 - AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します。

4.1 - どのセキュリティグループも 0.0.0.0/0 からポート 22 への入力を許可していないことを確認する

4.2 - どのセキュリティグループも 0.0.0.0/0 からポート 3389 への入力を許可していないことを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要がある

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めるべきではない

[PCI.DMS.1] AWS Database Migration Service レプリケーションインスタンスはパブリックではない必要がある

[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元できない

[PCI.EC2.5] どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可していない必要がある

[PCI.ELBV2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要がある

[PCI.ES.1] Elasticsearch ドメインは VPC 内に存在する必要がある

[PCI.ES.2] Elasticsearch ドメインで保管中の暗号化を有効にする必要がある

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.IAM.1] IAM ルートユーザーのアクセスキーが存在していてはならない

[PCI.Lambda.1] Lambda 関数は、パブリックアクセスを禁止する必要がある

[PCI.Lambda.2] Lambda 関数は VPC 内に存在する必要がある

[PCI.RDS.1] Amazon RDS スナップショットでパブリックアクセスを禁止する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要がある

[PCI.S3.6] S3 パブリックアクセスブロック設定を有効にする必要がある

[PCI.SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要がある

[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要がある

[PCI.SSM.2] Systems Manager によって管理されるインスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要がある

AWS Foundational Security Best Practices 標準

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、AWS WAF ウェブ ACL に関連付けられている必要があります

[AutoScaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

[EC2.15] EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.17] EC2 インスタンスは複数の ENI を使用しないでください

[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

[ECS.2] Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.10] Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要があります。

[ECS.12] ECS クラスターでは、Container Insights を有効にする必要があります

[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

[ELB.2] HTTPS/SSL リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.4] Application Load Balancer は、HTTP ヘッダーを削除するように設定する必要があります

[ELB.8] HTTPS/SSL リスナーを使用する Classic Load Balancers は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[KMS.3] AWS KMS キーを意図せずに削除してはいけません

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[RDS.9] データベースログ記録を有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.3] WAF リージョンルールグループには、1 つ以上の条件が必要です

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (ソウル)

アジアパシフィック (ソウル) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (シンガポール)

アジアパシフィック (シンガポール) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (シドニー)

アジアパシフィック (シドニー) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

アジアパシフィック (東京)

アジアパシフィック (東京) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

カナダ (中部)

カナダ (中部) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

中国 (北京)

中国 (北京) では、以下のコントロールはサポートされていません。

CIS AWS Foundations Benchmark 標準

1.13 - MFA がルートユーザーで有効になっていることを確認する

1.14 - ハードウェア MFA がルートユーザーで有効になっていることを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要がある

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要がある

[PCI.Lambda.1] Lambda 関数は、パブリックアクセスを禁止する必要がある

[PCI.Lambda.2] Lambda 関数は VPC 内に存在する必要がある

[PCI.SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要がある

AWS Foundational Security Best Practices 標準

[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、AWS WAF ウェブ ACL に関連付けられている必要があります

[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

[AutoScaling.3] Auto Scaling グループは、EC2 インスタンスを、Instance Metadata Service Version 2 (IMDSv2) を必要とするように設定する必要があります

[AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を越えることはできません

[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

[EC2.15] EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入をを許可しないようにする必要があります

[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[EC2.27] 実行中の EC2 インスタンスでは、キーペア (廃止) を使用しないでください

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.5] ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.10] Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要があります。

[ECS.12] ECS クラスターでは、Container Insights を有効にする必要があります

[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

[ELB.2] HTTPS/SSL リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.10] Classic Load Balancers は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.12] Application Load Balancerは、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

[ELB.13] アプリケーション、ネットワーク、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.14] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザーネームを使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

[S3.11] S3 バケットでは、イベント通知を有効にする必要があります

[S3.12] バケットへのユーザーアクセスを管理用として、S3 アクセスコントロールリスト (ACL) を使用しないでください

[S3.13] S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SSM.4] SSM ドキュメントはパブリックにしないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.2] WAF リージョンルールには、1 つ以上の条件が必要です

[WAF.3] WAF リージョンルールグループには、1 つ以上の条件が必要です

[WAF.4] WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

中国 (寧夏)

中国 (寧夏) では、以下のコントロールはサポートされていません。

CIS AWS Foundations Benchmark 標準

1.13 - MFA がルートユーザーで有効になっていることを確認する

1.14 - ハードウェア MFA がルートユーザーで有効になっていることを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要がある

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要がある

[PCI.Lambda.1] Lambda 関数は、パブリックアクセスを禁止する必要がある

[PCI.Lambda.2] Lambda 関数は VPC 内に存在する必要がある

[PCI.SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要がある

AWS Foundational Security Best Practices 標準

[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、AWS WAF ウェブ ACL に関連付けられている必要があります

[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

[AutoScaling.3] Auto Scaling グループは、EC2 インスタンスを、Instance Metadata Service Version 2 (IMDSv2) を必要とするように設定する必要があります

[AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を越えることはできません

[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

[EC2.15] EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入をを許可しないようにする必要があります

[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[EC2.27] 実行中の EC2 インスタンスでは、キーペア (廃止) を使用しないでください

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.5] ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.10] Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要があります。

[ECS.12] ECS クラスターでは、Container Insights を有効にする必要があります

[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

[ELB.2] HTTPS/SSL リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.10] Classic Load Balancers は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.12] Application Load Balancerは、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

[ELB.13] アプリケーション、ネットワーク、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.14] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

[RDS.9] データベースログ記録を有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザーネームを使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

[S3.11] S3 バケットでは、イベント通知を有効にする必要があります

[S3.12] バケットへのユーザーアクセスを管理用として、S3 アクセスコントロールリスト (ACL) を使用しないでください

[S3.13] S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SSM.4] SSM ドキュメントはパブリックにしないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.2] WAF リージョンルールには、1 つ以上の条件が必要です

[WAF.3] WAF リージョンルールグループには、1 つ以上の条件が必要です

[WAF.4] WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

ヨーロッパ (フランクフルト)

ヨーロッパ (フランクフルト) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

ヨーロッパ (アイルランド)

ヨーロッパ (アイルランド) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

ヨーロッパ (ロンドン)

ヨーロッパ (ロンドン) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

ヨーロッパ (ミラノ)

ヨーロッパ (ミラノ) では、以下のコントロールはサポートされていません。

CIS AWS Foundations Benchmark 標準

1.4 - アクセスキーが 90 日以内にローテーションされることを確認する

1.20 - AWS サポートでインシデントを管理するためのサポートロールが作成されていることを確認します。

4.1 - どのセキュリティグループも 0.0.0.0/0 からポート 22 への入力を許可していないことを確認する

4.2 - どのセキュリティグループも 0.0.0.0/0 からポート 3389 への入力を許可していないことを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要がある

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めるべきではない

[PCI.DMS.1] AWS Database Migration Service レプリケーションインスタンスはパブリックではない必要がある

[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元できない

[PCI.EC2.4] 未使用の EC2 EIP を削除する必要がある

[PCI.EC2.5] どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可していない必要がある

[PCI.ELBV2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要がある

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.RDS.1] Amazon RDS スナップショットでパブリックアクセスを禁止する必要があります

[PCI.S3.6] S3 パブリックアクセスブロック設定を有効にする必要がある

[PCI.SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要がある

[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要がある

[PCI.SSM.2] Systems Manager によって管理されるインスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要がある

AWS Foundational Security Best Practices 標準

[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

[APIGateway.1] API Gateway REST および WebSocket API ログ記録を有効にする必要があります

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[DMS.1] AWS Database Migration Service レプリケーションインスタンスは、パブリックでない必要があります

[EC2.1] Amazon EBS スナップショットはパブリックにしないでください。これは、誰でも復元可能であるかどうかを基に判断されます。

[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります

[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

[EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[EFS.1] Amazon EFS は、AWS KMS を使用して保管中のファイルデータを暗号化するように設定する必要があります

[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

[ELB.2] HTTPS/SSL リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.4] Application Load Balancer は、HTTP ヘッダーを削除するように設定する必要があります

[ELB.8] HTTPS/SSL リスナーを使用する Classic Load Balancers は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[EMR.1] Amazon EMR クラスターマスターノードは、パブリック IP アドレスを設定していない必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[KMS.3] AWS KMS キーを意図せずに削除してはいけません

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.9] データベースログ記録を有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。

[SSM.3] Systems Manager によって管理されるインスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

ヨーロッパ (パリ)

ヨーロッパ (パリ) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

ヨーロッパ (ストックホルム)

ヨーロッパ (ストックホルム) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

中東 (バーレーン)

中東 (バーレーン) では、以下のコントロールはサポートされていません。

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.S3.6] S3 パブリックアクセスブロック設定を有効にする必要がある

AWS Foundational Security Best Practices 標準

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[GuardDuty.1] GuardDuty を有効にする必要があります

[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザーネームを使用する必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

南米 (サンパウロ)

南米 (サンパウロ) では、以下のコントロールはサポートされていません。

AWS Foundational Security Best Practices 標準

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザーネームを使用する必要があります

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

AWS GovCloud (米国東部)

AWS GovCloud (米国東部) では、以下のコントロールはサポートされていません。

CIS AWS Foundations Benchmark 標準

1.13 - MFA がルートユーザーで有効になっていることを確認する

1.14 - ハードウェア MFA がルートユーザーで有効になっていることを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要がある

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めるべきではない

[PCI.GuardDuty.1] GuardDuty を有効にする必要がある

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要がある

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要がある

[PCI.SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要がある

AWS Foundational Security Best Practices 標準

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、AWS WAF ウェブ ACL に関連付けられている必要があります

[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

[AutoScaling.3] Auto Scaling グループは、EC2 インスタンスを、Instance Metadata Service Version 2 (IMDSv2) を必要とするように設定する必要があります

[AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を越えることはできません

[AutoScaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

[EC2.15] EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.17] EC2 インスタンスは複数の ENI を使用しないでください

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入をを許可しないようにする必要があります

[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[EC2.27] 実行中の EC2 インスタンスでは、キーペア (廃止) を使用しないでください

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

[ECS.2] Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.10] Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要があります。

[ECS.12] ECS クラスターでは、Container Insights を有効にする必要があります

[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

[ELB.2] HTTPS/SSL リスナーを使用する Classic Load Balancers は、AWS Certificate Manager によって提供される証明書を使用する必要があります。

[ELB.8] HTTPS/SSL リスナーを使用する Classic Load Balancers は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

[ELB.10] Classic Load Balancers は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.12] Application Load Balancerは、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

[ELB.13] アプリケーション、ネットワーク、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.14] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザーネームを使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

[S3.11] S3 バケットでは、イベント通知を有効にする必要があります

[S3.12] バケットへのユーザーアクセスを管理用として、S3 アクセスコントロールリスト (ACL) を使用しないでください

[S3.13] S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SSM.4] SSM ドキュメントはパブリックにしないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.2] WAF リージョンルールには、1 つ以上の条件が必要です

[WAF.3] WAF リージョンルールグループには、1 つ以上の条件が必要です

[WAF.4] WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

AWS GovCloud (米国西部)

AWS GovCloud (米国西部) では、以下のコントロールはサポートされていません。

CIS AWS Foundations Benchmark 標準

1.13 - MFA がルートユーザーで有効になっていることを確認する

1.14 - ハードウェア MFA がルートユーザーで有効になっていることを確認する

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要がある

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めるべきではない

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要がある

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要がある

AWS Foundational Security Best Practices 標準

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[APIGateway.3] API Gateway REST API ステージでは、AWS X-Ray トレースを有効にする必要があります

[APIGateway.4] API Gateway は、AWS WAF ウェブ ACL に関連付けられている必要があります

[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

[AutoScaling.3] Auto Scaling グループは、EC2 インスタンスを、Instance Metadata Service Version 2 (IMDSv2) を必要とするように設定する必要があります

[AutoScaling.4] Auto Scaling グループの起動設定では、メタデータ応答ホップ制限が 1 を越えることはできません

[AutoScaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

[CloudFormation.1] CloudFormation スタックは、Simple Notification Service (SNS) と統合させる必要があります

[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります

[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションでは、AWS WAF を有効にする必要があります

[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります

[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります

[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります

[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[CodeBuild.4] CodeBuild プロジェクト環境にはログ記録の設定が必要です

[CodeBuild.5] CodeBuild プロジェクト環境では特権モードを有効にしないでください

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

[EC2.15] EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.17] EC2 インスタンスは複数の ENI を使用しないでください

[EC2.20] AWS Site-to-Site VPN 接続用の VPN トンネルは、両方とも起動している必要があります。

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入をを許可しないようにする必要があります

[EC2.22] 未使用の EC2 セキュリティグループを削除する必要があります

[EC2.23] EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けるべきではありません

[EC2.24] 準仮想化 EC2 インスタンスタイプは使用しないでください

[EC2.27] 実行中の EC2 インスタンスでは、キーペア (廃止) を使用しないでください

[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

[ECS.2] Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください

[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

[ECS.4] ECS コンテナは、非特権として実行する必要があります

[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

[ECS.10] Fargate サービスは、Fargate プラットフォームの最新バージョンで実行する必要があります。

[ECS.12] ECS クラスターでは、Container Insights を有効にする必要があります

[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

[ELB.10] Classic Load Balancers は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.12] Application Load Balancerは、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

[ELB.13] アプリケーション、ネットワーク、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

[ELB.14] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

[Kinesis.1] Kinesis Data Streams は、保管中に暗号化する必要があります

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

[OpenSearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[OpenSearch.2] OpenSearch ドメインは VPC 内に含まれている必要があります

[OpenSearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[OpenSearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

[OpenSearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[OpenSearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[OpenSearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

[OpenSearch.8] OpenSearch ドメインへの接続は TLS 1.2 を使用して暗号化する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザーネームを使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります

[S3.11] S3 バケットでは、イベント通知を有効にする必要があります

[S3.12] バケットへのユーザーアクセスを管理用として、S3 アクセスコントロールリスト (ACL) を使用しないでください

[S3.13] S3 バケットでは、ライフサイクルポリシーを設定する必要があります

[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

[SSM.4] SSM ドキュメントはパブリックにしないでください

[WAF.1] AWS WAF クラシックグローバルウェブ ACL ログ記録を有効にする必要があります

[WAF.2] WAF リージョンルールには、1 つ以上の条件が必要です

[WAF.3] WAF リージョンルールグループには、1 つ以上の条件が必要です

[WAF.4] WAF Classic リージョンウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

[WAF.7] WAF グローバルルールグループには、1 つ以上の条件が必要です

[WAF.8] WAF グローバルウェブ ACL には、1 つ以上のルールまたはルールグループが必要です