Payment Card Industry Data Security Standard (PCI DSS)

Security Hub の Payment Card Industry Data Security Standard (PCI DSS) は、カード所有者データの処理について、一連の AWS セキュリティのベストプラクティスを提供します。この標準を使用して、カード所有者データを処理するリソースのセキュリティ上の脆弱性を発見できます。Security Hub は現在、アカウントレベルでコントロールをスコープします。カード所有者データを保存、処理、送信するリソースを持つすべてのアカウントで、これらのコントロールを有効にすることをお勧めします。

この標準は、PCI AWS DSSガイダンスを提供する認定セキュリティ評価者（AWS QSA）で構成されるセキュリティ保証サービス合同会社（SAS）によって検証され、PCI DSSセキュリティ標準審議会（PCI SSC）による評価も受けています。 AWS SAS は、自動チェックがお客様の PCI DSS 評価の準備に役立つことを確認しています。

このページには、セキュリティコントロール ID とタイトルが一覧表示されます。 AWS GovCloud (US) Region および中国地域では、規格固有の統制IDとタイトルが使用されています。セキュリティコントロール ID とタイトルを標準固有のコントロール ID とタイトルにマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。

PCI DSS に適用されるコントロール

[AutoScaling.1] クラシックロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェックを使用する必要があります

[CloudTrail.2] CloudTrail では保存時の暗号化を有効にする必要があります

[CloudTrail.3] を有効にする必要があります CloudTrail

[CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

[CloudTrail.5] CloudTrail トレイルは Amazon ログと統合する必要があります CloudWatch

[CloudWatch.1]「root」ユーザーが使用するには、ログメトリクスフィルターとアラームが必要です

[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には、機密性の高い認証情報が含まれていてはなりません。

[CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキストの認証情報が含まれていてはいけません

[Config.1] AWS Config を有効にする必要があります

[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[GuardDuty.1] GuardDuty は有効にする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.10] IAM ユーザーのパスワードポリシーには厳重な規制が必要である AWS Config

[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

[KMS.4] キーローテーションを有効にする必要があります AWS KMS

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.3] Lambda 関数は VPC 内に存在する必要があります

[Opensearch.1] OpenSearch ドメインでは、保存時の暗号化が有効になっている必要があります

[Opensearch.2] OpenSearch ドメインはパブリックにアクセス可能であってはなりません。

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.2] RDS DB インスタンスは、有効期間によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[S3.1] S3 汎用バケットでは、パブリックアクセスのブロック設定が有効になっている必要があります

[S3.2] S3 汎用バケットはパブリックリードアクセスをブロックする必要がある

[S3.3] S3 汎用バケットは公開書き込みアクセスをブロックすべきである

[S3.5] S3 汎用バケットには SSL を使用するリクエストが必要となるはずです。

[S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用するべき

[SageMaker.1] Amazon SageMaker ノートブックインスタンスはインターネットに直接アクセスしてはいけません

[SSM.1] Amazon EC2 インスタンスは以下によって管理される必要があります AWS Systems Manager

[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります