カナダサイバーセキュリティセンター (CCCS) 中規模クラウド制御プロファイルに関する運用面のベストプラクティス

コンフォーマンスパックは、マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、カナダサイバーセキュリティセンター (CCCS) の Medium Cloud Control Profile と AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールは特定の AWS リソースに適用され、1 つ以上の CCCS Medium Cloud Control Profile コントロールに関連付けられます。CCCSC の中規模クラウド制御プロファイルは、複数の設定ルールと関連付けすることが可能です。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

コントロール ID	コントロールの概要	AWS Config ルール	ガイダンス
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2(1)	AC-2 (1) アカウント管理 \| 自動システムのアカウント管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2(3)	AC-2 (3) アカウント管理 \| 非アクティブなアカウントの無効化	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2(3)	AC-2 (3) アカウント管理 \| 非アクティブなアカウントの無効化	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2(4)	AC-2 (4) アカウント管理 \| 自動監査アクション	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AC-2(4)	AC-2 (4) アカウント管理 \| 自動監査アクション	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AC-2(4)	AC-2 (4) アカウント管理 \| 自動監査アクション	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2(4)	AC-2 (4) アカウント管理 \| 自動監査アクション	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2(4)	AC-2 (4) アカウント管理 \| 自動監査アクション	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AC-2(4)	AC-2 (4) アカウント管理 \| 自動監査アクション	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2(4)	AC-2 (4) アカウント管理 \| 自動監査アクション	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.A	AC-2.A アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.B	AC-2.B アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.C	AC-2.C アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースのを作成して使用し AWS アカウント、最小機能の原則を組み込むのに役立ちます。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.D	AC-2.D アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースのを作成して使用し AWS アカウント、最小機能の原則を組み込むのに役立ちます。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.E	AC-2.E アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースのを作成して使用し AWS アカウント、最小機能の原則を組み込むのに役立ちます。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.F	AC-2.F アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースのを作成して使用し AWS アカウント、最小機能の原則を組み込むのに役立ちます。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.G	AC-2.G アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.H	AC-2.H アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.I	AC-2.I アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.J	AC-2.J アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-policy-no-statements-with-full-access	IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-2.K	AC-2.K アカウントの管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	elasticsearch-in-vpc-only	Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-AC-3.A	AC-3.A アクセスの適用	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4(21)	AC-4 (21) 情報フローの適用 \| 情報フローの物理的/論理的分離	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	elasticsearch-in-vpc-only	Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-AC-4.A	AC-4.A 情報フローの適用	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-AC-5.A	AC-5.A 職務の分離	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-5.A	AC-5.A 職務の分離	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-5.A	AC-5.A 職務の分離	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-5.A	AC-5.A 職務の分離	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-5.A	AC-5.A 職務の分離	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-6(1)	AC-6 (1) 最小特権 \| セキュリティ機能に対するアクセスの許可	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-6(1)	AC-6 (1) 最小特権 \| セキュリティ機能に対するアクセスの許可	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-6(1)	AC-6 (1) 最小特権 \| セキュリティ機能に対するアクセスの許可	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-AC-6(1)	AC-6 (1) 最小特権 \| セキュリティ機能に対するアクセスの許可	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-AC-6(1)	AC-6 (1) 最小特権 \| セキュリティ機能に対するアクセスの許可	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-AC-6(2)	AC-6 (2) 最小特権 \| 非セキュリティ機能に対する非特権アクセス	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-6(2)	AC-6 (2) 最小特権 \| 非セキュリティ機能に対する非特権アクセス	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-6(2)	AC-6 (2) 最小特権 \| 非セキュリティ機能に対する非特権アクセス	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-AC-6(2)	AC-6 (2) 最小特権 \| 非セキュリティ機能に対する非特権アクセス	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-AC-6(2)	AC-6 (2) 最小特権 \| 非セキュリティ機能に対する非特権アクセス	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-AC-6(5)	AC-6 (5) 最小特権 \| 特権アカウント	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-6(5)	AC-6 (5) 最小特権 \| 特権アカウント	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-AC-6(5)	AC-6 (5) 最小特権 \| 特権アカウント	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-AC-6(5)	AC-6 (5) 最小特権 \| 特権アカウント	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-AC-6(9)	AC-6 (9) 最小特権 \| 特権を持つ機能の使用についての監査	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AC-6(9)	AC-6 (9) 最小特権 \| 特権を持つ機能の使用についての監査	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AC-6(9)	AC-6 (9) 最小特権 \| 特権を持つ機能の使用についての監査	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-6(9)	AC-6 (9) 最小特権 \| 特権を持つ機能の使用についての監査	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AC-6(9)	AC-6 (9) 最小特権 \| 特権を持つ機能の使用についての監査	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AC-6(9)	AC-6 (9) 最小特権 \| 特権を持つ機能の使用についての監査	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-6(9)	AC-6 (9) 最小特権 \| 特権を持つ機能の使用についての監査	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AC-6(10)	AC-6 (10) 最小特権 \| 非特権ユーザーによる特権関数の実行の禁止	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-6(10)	AC-6 (10) 最小特権 \| 非特権ユーザーによる特権関数の実行の禁止	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-AC-6(10)	AC-6 (10) 最小特権 \| 非特権ユーザーによる特権関数の実行の禁止	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-AC-6(10)	AC-6 (10) 最小特権 \| 非特権ユーザーによる特権関数の実行の禁止	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-AC-6(10)	AC-6 (10) 最小特権 \| 非特権ユーザーによる特権関数の実行の禁止	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースのを作成して使用し AWS アカウント、最小機能の原則を組み込むのに役立ちます。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他ののサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-AC-6.A	AC-6.A 最小特権	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	alb-waf-enabled	ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他ののサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-AC-17(1)	AC-17 (1) リモートアクセス \| 自動化されたモニタリングと制御	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AC-17(2)	AC-17 (2) リモートアクセス \| 暗号化による機密性と整合性の保護	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-17(2)	AC-17 (2) リモートアクセス \| 暗号化による機密性と整合性の保護	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-AC-17(2)	AC-17 (2) リモートアクセス \| 暗号化による機密性と整合性の保護	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-AC-17(2)	AC-17 (2) リモートアクセス \| 暗号化による機密性と整合性の保護	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-17(2)	AC-17 (2) リモートアクセス \| 暗号化による機密性と整合性の保護	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-17(2)	AC-17 (2) リモートアクセス \| 暗号化による機密性と整合性の保護	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AC-17(3)	AC-17 (3) リモートアクセス \| 管理型アクセスのコントロールポイント	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-17(4)	AC-17 (4) リモートアクセス \| 特権を持つコマンドとアクセス	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-AC-17(4)	AC-17 (4) リモートアクセス \| 特権を持つコマンドとアクセス	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-AC-17(4)	AC-17 (4) リモートアクセス \| 特権を持つコマンドとアクセス	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他ののサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-AC-17.A	AC-17.A リモートアクセス	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-AC-17.AA	AC-17.AA リモートアクセス	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-AC-17.B	AC-17.B リモートアクセス	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-2.A	AU-2.A 監査イベント	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-2.B	AU-2.B 監査イベント	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-2.C	AU-2.C 監査イベント	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-2.D	AU-2.D 監査イベント	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-3(1)	AU-3 (1) 監査記録の内容 \| 追加的な監査情報	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	elasticsearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	opensearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-3.A	AU-3.A 監査記録の内容	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-5.A	AU-5.A 監査処理の失敗に対する対応	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-AU-5.B	AU-5.B 監査処理の失敗に対する対応	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-AU-6(1)	AU-6 (1) 監査のレビュー、分析、および報告 \| プロセスの統合	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-AU-6(1)	AU-6 (1) 監査のレビュー、分析、および報告 \| プロセスの統合	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-6(1)	AU-6 (1) 監査のレビュー、分析、および報告 \| プロセスの統合	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-6(1)	AU-6 (1) 監査のレビュー、分析、および報告 \| プロセスの統合	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-AU-6(1)	AU-6 (1) 監査のレビュー、分析、および報告 \| プロセスの統合	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-6(1)	AU-6 (1) 監査のレビュー、分析、および報告 \| プロセスの統合	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	elasticsearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	opensearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-6(3)	AU-6 (3) 監査のレビュー、分析、および報告 \| 監査リポジトリの相互関連付け	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-7(1)	AU-7 (1) 監査の削減と報告の生成 \| 自動処理	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	elasticsearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	opensearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-8.B	AU-8.B タイムスタンプ	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-9(2)	AU-9 (2) 監査情報の保護 \| 分離された物理システムおよびコンポーネントによる監査内容のバックアップ	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-AU-9(2)	AU-9 (2) 監査情報の保護 \| 分離された物理システムおよびコンポーネントによる監査内容のバックアップ	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-AU-9(2)	AU-9 (2) 監査情報の保護 \| 分離された物理システムおよびコンポーネントによる監査内容のバックアップ	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-AU-9.A	AU-9.A 監査情報の保護	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-AU-9.A	AU-9.A 監査情報の保護	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-AU-9.A	AU-9.A 監査情報の保護	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-AU-11.A	AU-11.A 監査記録の保持	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-AU-11.B	AU-11.B 監査記録の保持	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-AU-11.C	AU-11.C 監査記録の保持	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	elasticsearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	opensearch-logs-to-cloudwatch	Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-12.A	AU-12.A 監査の生成	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-AU-12.C	AU-12.C 監査の生成	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	eip-attached	このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-CA-3(5)	CA-3 (5) システムの相互接続 \| 外部ネットワークへの接続の制限	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	api-gw-xray-enabled	AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray がを有効にして、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求されるとおり、アーカイブされていない検出結果に対して daysLowSev (Config daysMediumSev デフォルト: 30)、 (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) をオプションで設定できます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CA-7.A	CA-7.A 継続的なモニタリング	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	api-gw-xray-enabled	AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray がを有効にして、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	eip-attached	このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求されるとおり、アーカイブされていない検出結果に対して daysLowSev (Config daysMediumSev デフォルト: 30)、 (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) をオプションで設定できます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CA-7.B	CA-7.B 継続的なモニタリング	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	api-gw-xray-enabled	AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray がを有効にして、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	eip-attached	このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求されるとおり、アーカイブされていない検出結果に対して daysLowSev (Config daysMediumSev デフォルト: 30)、 (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) をオプションで設定できます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CA-7.C	CA-7.C 継続的なモニタリング	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	api-gw-xray-enabled	AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray がを有効にして、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	eip-attached	このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求されるとおり、アーカイブされていない検出結果に対して daysLowSev (Config daysMediumSev デフォルト: 30)、 (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) をオプションで設定できます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CA-7.D	CA-7.D 継続的なモニタリング	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	api-gw-xray-enabled	AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray がを有効にして、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	eip-attached	このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求されるとおり、アーカイブされていない検出結果に対して daysLowSev (Config daysMediumSev デフォルト: 30)、 (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) をオプションで設定できます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CA-7.E	CA-7.E 継続的なモニタリング	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	api-gw-xray-enabled	AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray がを有効にして、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	eip-attached	このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求されるとおり、アーカイブされていない検出結果に対して daysLowSev (Config daysMediumSev デフォルト: 30)、 (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) をオプションで設定できます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CA-7.F	CA-7.F 継続的なモニタリング	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	api-gw-xray-enabled	AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray がを有効にして、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	eip-attached	このルールにより、Amazon Virtual Private Cloud (Amazon VPC) に割り当てられた Elastic IP が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされるようになります。このルールは、環境内の未使用の EIP をモニタリングするのに役立ちます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求されるとおり、アーカイブされていない検出結果に対して daysLowSev (Config daysMediumSev デフォルト: 30)、 (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) をオプションで設定できます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CA-7.G	CA-7.G 継続的なモニタリング	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-CA-9.A	CA-9.A 内部システムの接続	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-CM-2.A	CM-2.A ベースラインの設定	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-2.A	CM-2.A ベースラインの設定	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-2.A	CM-2.A ベースラインの設定	ec2-stopped-instance	このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。
CCCS-fPBMM-CM-2.A	CM-2.A ベースラインの設定	ec2-volume-inuse-check	このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。
CCCS-fPBMM-CM-2.A	CM-2.A ベースラインの設定	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CM-2.A	CM-2.A ベースラインの設定	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-2.A	CM-2.A ベースラインの設定	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CM-3.A	CM-3.A 設定変更の管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-3.A	CM-3.A 設定変更の管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-3.B	CM-3.B 設定変更の管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-3.B	CM-3.B 設定変更の管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-3.C	CM-3.C 設定変更の管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-3.C	CM-3.C 設定変更の管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-3.D	CM-3.D 設定変更の管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-3.D	CM-3.D 設定変更の管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-3.E	CM-3.E 設定変更の管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-3.E	CM-3.E 設定変更の管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-3.F	CM-3.F 設定変更の管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-3.F	CM-3.F 設定変更の管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-3.G	CM-3.G 設定変更の管理	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-3.G	CM-3.G 設定変更の管理	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	secretsmanager-rotation-enabled-check	このルールにより、 AWS Secrets Manager のシークレットでローテーションが有効になっていることが保証されます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	secretsmanager-scheduled-rotation-success-check	このルールにより、 AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CM-5(1)	CM-5 (1) 変更アクセスの制限 \| 自動化されたアクセスの適用と監査	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-CM-5(5)	CM-5 (5) 変更アクセスの制限 \| 本番向けおよび運用向け権限の制限	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-CM-5.A	CM-5.A 変更アクセスの制限	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6(1)	CM-6 (1) 構成の設定 \| 自動化された一元管理、アプリケーション、および検証	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-6(1)	CM-6 (1) 構成の設定 \| 自動化された一元管理、アプリケーション、および検証	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-6(1)	CM-6 (1) 構成の設定 \| 自動化された一元管理、アプリケーション、および検証	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	cmk-backing-key-rotation-enabled	キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-CM-6.A	CM-6.A 構成の設定	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	cmk-backing-key-rotation-enabled	キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」：「」ではなく「アクション」：「」の「効果」：「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-CM-6.B	CM-6.B 構成の設定	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	cmk-backing-key-rotation-enabled	キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-CM-6.C	CM-6.C 構成の設定	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	cmk-backing-key-rotation-enabled	キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-CM-6.D	CM-6.D 構成の設定	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-CM-7.A	CM-7.A 最小限の機能	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CM-7.A	CM-7.A 最小限の機能	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CM-7.B	CM-7.B 最小限の機能	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-CM-7.B	CM-7.B 最小限の機能	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-CM-8(1)	CM-8 (1) 情報システムコンポーネントのインベントリ \| インストール中あるいは削除中の更新	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8(1)	CM-8 (1) 情報システムコンポーネントのインベントリ \| インストール中あるいは削除中の更新	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-8(2)	CM-8 (2) 情報システムコンポーネントのインベントリ \| 自動化されたメンテナンス	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8(2)	CM-8 (2) 情報システムコンポーネントのインベントリ \| 自動化されたメンテナンス	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-8(3)	CM-8 (3) 情報システムコンポーネントのインベントリ \| 非認証コンポーネントの自動検出	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8(3)	CM-8 (3) 情報システムコンポーネントのインベントリ \| 非認証コンポーネントの自動検出	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-8(3)	CM-8 (3) 情報システムコンポーネントのインベントリ \| 非認証コンポーネントの自動検出	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-CM-8(3)	CM-8 (3) 情報システムコンポーネントのインベントリ \| 非認証コンポーネントの自動検出	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-CM-8.A	CM-8.A 情報システムコンポーネントのインベントリ	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8.A	CM-8.A 情報システムコンポーネントのインベントリ	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-8.B	CM-8.B 情報システムのコンポーネントのインベントリ	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8.B	CM-8.B 情報システムのコンポーネントのインベントリ	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-8.C	CM-8.C 情報システムのコンポーネントのインベントリ	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8.C	CM-8.C 情報システムのコンポーネントのインベントリ	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-8.D	CM-8.D 情報システムのコンポーネントのインベントリ	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8.D	CM-8.D 情報システムのコンポーネントのインベントリ	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CM-8.E	CM-8.E 情報システムのコンポーネントのインベントリ	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-CM-8.E	CM-8.E 情報システムのコンポーネントのインベントリ	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランに含まれていることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-2(5)	CP-2 (5) 緊急時対応計画 \| 重要なミッションとビジネス機能の継続	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2(6)	CP-2 (6) 緊急時対応計画 \| 代替的なプロセス処理とストレージサイト	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2(6)	CP-2 (6) 緊急時対応計画 \| 代替的なプロセス処理とストレージサイト	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2(6)	CP-2 (6) 緊急時対応計画 \| 代替的なプロセス処理とストレージサイト	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CP-2(6)	CP-2 (6) 緊急時対応計画 \| 代替的なプロセス処理とストレージサイト	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2(6)	CP-2 (6) 緊急時対応計画 \| 代替的なプロセス処理とストレージサイト	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2(6)	CP-2 (6) 緊急時対応計画 \| 代替的なプロセス処理とストレージサイト	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.A	CP-2.A 緊急時対応計画	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.B	CP-2.B 緊急時対応計画	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.C	CP-2.C 緊急時対応計画	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.D	CP-2.D 緊急時対応計画	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.E	CP-2.E 緊急時対応計画	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.F	CP-2.F 緊急時対応計画	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	rds-cluster-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	rds-instance-deletion-protection-enabled	Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-2.G	CP-2.G 緊急時対応計画	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-6(1)	CP-6 (1) 代替のストレージサイト \| プライマリサイトからの分離	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-6(2)	CP-6 (2) 代替のストレージサイト \| 目標復旧時間と目標復旧ポイント	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-6.A	CP-6.A 代替のストレージサイト	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-6.B	CP-6.B 代替のストレージサイト	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-9(3)	CP-9 (3) 情報システムのバックアップ \| 重要な情報のための分離されたストレージ	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-9(7)	CP-9 (7) 情報システムのバックアップ \| 二重認証	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-9(7)	CP-9 (7) 情報システムのバックアップ \| 二重認証	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-9.A	CP-9.A 情報システムのバックアップ	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-9.AA	CP-9.AA 情報システムのバックアップ	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-9.B	CP-9.B 情報システムのバックアップ	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-9.C	CP-9.C 情報システムのバックアップ	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	バックアップ計画によって保護された aurora リソース	データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	バックアップ計画-分-頻度と分保持チェック	データのバックアッププロセスを支援するために、バックアッププランが最小頻度と保持期間に設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1) requiredRetentionDays、 (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	バックアップ/リカバリ・ポイントの手動削除/無効化	AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	バックアップ/リカバリ・ポイントの最小保存期間チェック	データのバックアッププロセスを支援するために、バックアップリカバリポイントに最小保持期間が設定されていることを確認します AWS 。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays （設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	dynamodb-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	バックアップ計画によって保護された EBS リソース	データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	EC2-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	バックアップ計画によって保護された efs リソース	データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	fsx-リソース-バックアップ計画によって保護される	データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	rds-バックアップ計画によって保護されるリソース	データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごとに、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-9.D	CP-9.D 情報システムのバックアップ	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	db-instance-backup-enabled	Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	dynamodb-pitr-enabled	このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	ebs-optimized-instance	Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	elasticache-redis-cluster-automatic-backup-check	自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	redshift-backup-enabled	データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごとに、またはどちらか早い方でスナップショットを作成します。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
CCCS-fPBMM-CP-10.A	CP-10.A 情報システムの復旧と再構築	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-IA-2(1)	IA-2 (1) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのネットワークアクセス	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-2(1)	IA-2 (1) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのネットワークアクセス	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-2(1)	IA-2 (1) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのネットワークアクセス	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-2(3)	IA-2 (3) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのローカルアクセス	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-2(3)	IA-2 (3) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのローカルアクセス	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-2(3)	IA-2 (3) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのローカルアクセス	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-2(8)	IA-2 (8) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのネットワークアクセス – リプレイへの耐性	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-2(8)	IA-2 (8) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのネットワークアクセス – リプレイへの耐性	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-2(8)	IA-2 (8) 身分証明書と認証 (組織のユーザー) \| 特権アカウントへのネットワークアクセス – リプレイへの耐性	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-2(11)	IA-2 (11) 身分証明書と認証 (組織のユーザー) \| リモートアクセス – 個別のデバイス	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-2(11)	IA-2 (11) 身分証明書と認証 (組織のユーザー) \| リモートアクセス – 個別のデバイス	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-2(11)	IA-2 (11) 身分証明書と認証 (組織のユーザー) \| リモートアクセス – 個別のデバイス	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-2.A	IA-2.A 身分証明書と認証 (組織のユーザー)	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-2.A	IA-2.A 身分証明書と認証 (組織のユーザー)	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-2.A	IA-2.A 身分証明書と認証 (組織のユーザー)	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-2.A	IA-2.A 身分証明書と認証 (組織のユーザー)	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-4(4)	IA-4 (4) 識別子の管理 \| ユーザーステータスの識別	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-IA-4.A	IA-4.A 識別子の管理	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.A	IA-4.A 識別子の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.A	IA-4.A 識別子の管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-IA-4.B	IA-4.B 識別子の管理	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.B	IA-4.B 識別子の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.B	IA-4.B 識別子の管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-IA-4.C	IA-4.C 識別子の管理	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.C	IA-4.C 識別子の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.C	IA-4.C 識別子の管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-IA-4.D	IA-4.D 識別子の管理	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.D	IA-4.D 識別子の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.D	IA-4.D 識別子の管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-IA-4.E	IA-4.E 識別子の管理	access-keys-rotated	IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.E	IA-4.E 識別子の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-4.E	IA-4.E 識別子の管理	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-IA-5(1)	IA-5 (1) Authenticator の管理 \| パスワードベースの認証	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5(2)	IA-5 (2) Authenticator の管理 \| PKI ベースの認証	elbv2-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-IA-5(2)	IA-5 (2) Authenticator の管理 \| PKI ベースの認証	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-IA-5(4)	IA-5 (4) Authenticator の管理 \| 自動的なパスワード強度特定のサポート	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5(8)	IA-5 (8) Authenticator の管理 \| 複数の情報システムのアカウント	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-IA-5(8)	IA-5 (8) Authenticator の管理 \| 複数の情報システムのアカウント	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5(8)	IA-5 (8) Authenticator の管理 \| 複数の情報システムのアカウント	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.A	IA-5.A Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.A	IA-5.A Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.A	IA-5.A Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.A	IA-5.A Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.B	IA-5.B Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.B	IA-5.B Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.B	IA-5.B Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.B	IA-5.B Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.C	IA-5.C Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.C	IA-5.C Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.C	IA-5.C Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.C	IA-5.C Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.D	IA-5.D Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.D	IA-5.D Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.D	IA-5.D Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.D	IA-5.D Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.E	IA-5.E Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.E	IA-5.E Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.E	IA-5.E Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.E	IA-5.E Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.F	IA-5.F Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、（AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.F	IA-5.F Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.F	IA-5.F Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.F	IA-5.F Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.G	IA-5.G Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.G	IA-5.G Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.G	IA-5.G Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.G	IA-5.G Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.H	IA-5.H Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.H	IA-5.H Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.H	IA-5.H Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.H	IA-5.H Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.I	IA-5.I Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.I	IA-5.I Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.I	IA-5.I Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.I	IA-5.I Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IA-5.J	IA-5.J Authenticator の管理	iam-password-policy	ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters （AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters （AWS Foundational Security Best Practices 値: true) RequireSymbols 、（AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、（AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-IA-5.J	IA-5.J Authenticator の管理	iam-user-mfa-enabled	AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、ユーザー名とパスワードに更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。
CCCS-fPBMM-IA-5.J	IA-5.J Authenticator の管理	mfa-enabled-for-iam-console-access	コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。
CCCS-fPBMM-IA-5.J	IA-5.J Authenticator の管理	root-account-mfa-enabled	ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、ユーザー名とパスワードに 1 つの保護レイヤーを追加します。ルートユーザーに MFA を要求することで、侵害されたのインシデントを減らすことができます AWS アカウント。
CCCS-fPBMM-IR-6(1)	IR-6 (1) インシデントの報告 \| 自動化された報告	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-MA-3.A	MA-3.A メンテナンスツール	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-MA-3.A	MA-3.A メンテナンスツール	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	api-gw-execution-logging-enabled	API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	cloudtrail-s3-dataevents-enabled	Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	cloud-trail-cloud-watch-logs-enabled	Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、内の API コールアクティビティの詳細が表示されます AWS アカウント。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	elb-logging-enabled	Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	rds-logging-enabled	環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-MA-4(1)	MA-4 (1) 非ローカルでのメンテナンス \| 監査とレビュー	wafv2-logging-enabled	環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 ACLs AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	ec2-imdsv2-check	Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	ecs-task-definition-user-for-host-mode-check	タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	emr-kerberos-enabled	Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-customer-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-group-has-users-check	AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-inline-policy-blocked-kms-actions	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりにマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。（AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-no-inline-policy-check	AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-root-access-key-check	ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウントロールベースを作成して使用します。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-user-group-membership-check	AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-user-no-policies-check	このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-MP-2.A	MP-2.A メディアへのアクセス	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-RA-5.A	RA-5.A 脆弱性スキャン	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-RA-5.B	RA-5.B 脆弱性スキャン	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-RA-5.C	RA-5.C 脆弱性スキャン	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-RA-5.D	RA-5.D 脆弱性スキャン	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-RA-5.E	RA-5.E 脆弱性スキャン	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SA-10(1)	SA-10 (1) デベロッパー向け設定の管理 \| ソフトウェアおよびファームウェアの整合性の検証	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SC-5.A	SC-5.A サービス拒否からの保護	alb-waf-enabled	ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
CCCS-fPBMM-SC-5.A	SC-5.A サービス拒否からの保護	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	elb-cross-zone-load-balancing-enabled	Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	rds-cluster-multi-az-enabled	Amazon Relational Database Service (Amazon RDS) クラスターでは、マルチ AZ レプリケーションを有効にして、格納されるデータの可用性をサポートする必要があります。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
CCCS-fPBMM-SC-6.A	SC-6.A リソースの可用性	vpc-vpn-2-tunnels-up	冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他ののサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-SC-7(3)	SC-7 (3) 境界の保護 \| アクセスポイント	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他ののサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-SC-7(4)	SC-7 (4) 境界の保護 \| 外部のテレコミュニケーションサービス	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-SC-7(5)	SC-7 (5) 境界の保護 \| デフォルトによる拒否と例外による許可	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-SC-7(5)	SC-7 (5) 境界の保護 \| デフォルトによる拒否と例外による許可	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-SC-7(5)	SC-7 (5) 境界の保護 \| デフォルトによる拒否と例外による許可	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-SC-7(5)	SC-7 (5) 境界の保護 \| デフォルトによる拒否と例外による許可	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-SC-7(7)	SC-7 (7) 境界の保護 \| リモートデバイスに対するスプリットトンネリングの防止	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	elasticsearch-in-vpc-only	Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他ののサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-SC-7.A	SC-7.A 境界の保護	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	elasticsearch-in-vpc-only	Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-SC-7.B	SC-7.B 境界の保護	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	dms-replication-not-public	DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	ebs-snapshot-public-restorable-check	EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	ec2-instance-no-public-ip	Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	elasticsearch-in-vpc-only	Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	emr-master-no-public-ip	Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	ec2-instances-in-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	internet-gateway-authorized-vpc-only	インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon VPC) にのみアタッチされるようにすることで、クラウド内のリソースへのアクセスを管理します。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	lambda-function-public-access-prohibited	AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	lambda-inside-vpc	Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	opensearch-in-vpc-only	Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他のサービス間の安全な通信が可能になります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	rds-instance-public-access-check	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	rds-snapshots-public-prohibited	Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	redshift-cluster-public-access-check	Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	restricted-common-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	s3-account-level-public-access-blocks-periodic	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	s3-bucket-level-public-access-prohibited	Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	s3-bucket-public-read-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	s3-bucket-public-write-prohibited	Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	sagemaker-notebook-no-direct-internet-access	Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	subnet-auto-assign-public-ip-disabled	Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	vpc-default-security-group-closed	Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。
CCCS-fPBMM-SC-7.C	SC-7.C 境界の保護	vpc-sg-open-only-to-authorized-ports	Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8(1)	SC-8 (1) 伝送の機密性と整合性 \| 暗号化または代替の物理的保護	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-8.A	SC-8.A 伝送の機密性と整合性	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-12(1)	SC-12 (1) 暗号化キーの確立と管理 \| 可用性	kms-cmk-not-scheduled-for-deletion	保管中のデータを保護するために、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されないようにします。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
CCCS-fPBMM-SC-12(2)	SC-12 (2) 暗号化キーの確立と管理 \| 対象キー	cmk-backing-key-rotation-enabled	キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
CCCS-fPBMM-SC-12(2)	SC-12 (2) 暗号化キーの確立と管理 \| 対象キー	kms-cmk-not-scheduled-for-deletion	保管中のデータを保護するために、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されないようにします。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
CCCS-fPBMM-SC-12.A	SC-12.A 暗号化キーの確立と管理	cmk-backing-key-rotation-enabled	キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。
CCCS-fPBMM-SC-12.A	SC-12.A 暗号化キーの確立と管理	kms-cmk-not-scheduled-for-deletion	保管中のデータを保護するために、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されないようにします。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	efs-encrypted-check	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	elasticsearch-encrypted-at-rest	機密データが存在する可能性があるため、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	opensearch-encrypted-at-rest	機密データが存在する可能性があるため、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	rds-storage-encrypted	保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	redshift-cluster-kms-enabled	保管中のデータを保護するために、Amazon Redshift クラスターで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	sagemaker-endpoint-configuration-kms-key-configured	保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保管中に存在する可能性があるため、保管中の暗号化を有効にして、そのデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	sagemaker-notebook-instance-kms-key-configured	保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	secretsmanager-using-cmk	保管中のデータを保護するため、Secrets Manager シー AWS クレットで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-13.A	SC-13.A 暗号化による保護	sns-encrypted-kms	保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service (AWS KMS) を使用した AWS 暗号化が必要であることを確認してください。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-22.A	SC-22.A 名前およびアドレスの解決サービス用のアーキテクチャとプロビジョニング	elb-deletion-protection-enabled	このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	alb-http-to-https-redirection-check	転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	api-gw-ssl-enabled	Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-23.A	SC-23.A セッションの認証性	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	efs-encrypted-check	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	elasticsearch-encrypted-at-rest	機密データが存在する可能性があるため、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	opensearch-encrypted-at-rest	機密データが存在する可能性があるため、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	rds-storage-encrypted	保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	redshift-cluster-kms-enabled	保管中のデータを保護するために、Amazon Redshift クラスターで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	sagemaker-endpoint-configuration-kms-key-configured	保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保管中に存在する可能性があるため、保管中の暗号化を有効にして、そのデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	sagemaker-notebook-instance-kms-key-configured	保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保管中に存在する可能性があるため、保管中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	secretsmanager-using-cmk	保管中のデータを保護するために、Secrets Manager シー AWS クレットで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28(1)	SC-28 (1) 保存中の情報に対する保護 \| 暗号化による保護	sns-encrypted-kms	保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service (AWS KMS) を使用した AWS 暗号化が必要であることを確認してください。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	バックアップ/リカバリ・ポイント暗号化	AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	cloud-trail-encryption-enabled	機密データが存在する可能性があるため、保管中のデータを保護するために、証跡で AWS CloudTrail暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	ec2-ebs-encryption-by-default	保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	efs-encrypted-check	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	elasticsearch-encrypted-at-rest	機密データが存在する可能性があるため、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	elasticsearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	elb-acm-certificate-required	機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	elb-predefined-security-policy-ssl-check	転送中のデータを保護するため、Classic Elastic Load Balancing のリスナーがカスタムセキュリティポリシーを使用していることを確認します。Elastic Load Balancing には、クライアントとロードバランサーの間に接続が確立されたときに SSL ネゴシエーションに使用される定義済み SSL ネゴシエーション設定があります。SSL ネゴシエーション設定は幅広いクライアントとの互換性を提供し、暗号という強力な暗号アルゴリズムを使用します。このルールでは、SSL リスナーにカスタムセキュリティポリシーを設定する必要があります。デフォルトのセキュリティポリシーは、ELB SecurityPolicy-TLS-1-2-2017-0 です。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	elb-tls-https-listeners-only	Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	encrypted-volumes	機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	opensearch-encrypted-at-rest	機密データが存在する可能性があるため、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認してください。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	opensearch-node-to-node-encryption-check	Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	rds-snapshot-encrypted	Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	rds-storage-encrypted	保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	redshift-cluster-configuration-check	保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	redshift-cluster-kms-enabled	保管中のデータを保護するために、Amazon Redshift クラスターで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	redshift-require-tls-ssl	Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	s3-bucket-server-side-encryption-enabled	保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	s3-bucket-ssl-requests-only	転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	sagemaker-endpoint-configuration-kms-key-configured	保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保管中に存在する可能性があるため、保管中の暗号化を有効にして、そのデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	sagemaker-notebook-instance-kms-key-configured	保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保管中に存在する可能性があるため、保管中の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	secretsmanager-using-cmk	保管中のデータを保護するために、Secrets Manager シー AWS クレットで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SC-28.A	SC-28.A 保存中の情報に対する保護	sns-encrypted-kms	保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service (AWS KMS) を使用した AWS 暗号化が必要であることを確認してください。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートを使用すると、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	elastic-beanstalk-managed-updates-enabled	Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-SI-2(2)	SI-2 (2) 欠陥修復 \| 自動的な欠陥修復のステータス	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2(3)	SI-2 (3) 欠陥の修復 \| 欠陥の修復にかかる時間/修正アクションに関するベンチマーク	guardduty-non-archived-findings	Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートを使用すると、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	elastic-beanstalk-managed-updates-enabled	Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-SI-2.A	SI-2.A 欠陥修復	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートを使用すると、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	elastic-beanstalk-managed-updates-enabled	Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-SI-2.B	SI-2.B 欠陥修復	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートを使用すると、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	elastic-beanstalk-managed-updates-enabled	Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-SI-2.C	SI-2.C 欠陥修復	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	autoscaling-group-elb-healthcheck-required	Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	beanstalk-enhanced-health-reporting-enabled	AWS Elastic Beanstalk の拡張ヘルスレポートを使用すると、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	dynamodb-throughput-limit-check	このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	ec2-instance-detailed-monitoring-enabled	このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	elastic-beanstalk-managed-updates-enabled	Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	rds-enhanced-monitoring-enabled	Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
CCCS-fPBMM-SI-2.D	SI-2.D 欠陥修復	redshift-cluster-maintenancesettings-check	このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow （デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
CCCS-fPBMM-SI-3(1)	SI-3 (1) 悪意のあるコードからの保護 \| 一元的な管理	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-3(7)	SI-3 (7) 悪意のあるコードからの保護 \| 署名ベース以外での検出	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-3.A	SI-3.A 悪意のあるコードからの保護	alb-waf-enabled	ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。
CCCS-fPBMM-SI-3.A	SI-3.A 悪意のあるコードからの保護	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-3.A	SI-3.A 悪意のあるコードからの保護	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-3.A	SI-3.A 悪意のあるコードからの保護	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-3.A	SI-3.A 悪意のあるコードからの保護	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-3.B	SI-3.B 悪意のあるコードからの保護	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-3.B	SI-3.B 悪意のあるコードからの保護	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-3.B	SI-3.B 悪意のあるコードからの保護	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-3.B	SI-3.B 悪意のあるコードからの保護	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-3.C	SI-3.C 悪意のあるコードからの保護	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-3.C	SI-3.C 悪意のあるコードからの保護	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-3.C	SI-3.C 悪意のあるコードからの保護	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-3.C	SI-3.C 悪意のあるコードからの保護	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-3.D	SI-3.D 悪意のあるコードからの保護	ec2-instance-managed-by-systems-manager	AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。
CCCS-fPBMM-SI-3.D	SI-3.D 悪意のあるコードからの保護	ec2-managedinstance-association-compliance-status-check	AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
CCCS-fPBMM-SI-3.D	SI-3.D 悪意のあるコードからの保護	ec2-managedinstance-patch-compliance-status-check	このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。
CCCS-fPBMM-SI-3.D	SI-3.D 悪意のあるコードからの保護	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4(1)	SI-4 (1) 情報システムのモニタリング \| システム全体の侵入検知システム	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4(1)	SI-4 (1) 情報システムのモニタリング \| システム全体の侵入検知システム	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4(2)	SI-4 (2) 情報システムのモニタリング \| リアルタイム分析のための自動化ツール	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4(2)	SI-4 (2) 情報システムのモニタリング \| リアルタイム分析のための自動化ツール	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4(4)	SI-4 (4) 情報システムのモニタリング \| インバウンドとアウトバウンドの通信トラフィック	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4(4)	SI-4 (4) 情報システムのモニタリング \| インバウンドとアウトバウンドの通信トラフィック	vpc-flow-logs-enabled	VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
CCCS-fPBMM-SI-4(5)	SI-4 (5) 情報システムのモニタリング \| システムで生成されたアラート	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4(11)	SI-4 (11) 情報システムのモニタリング \| 通信トラフィックにおける異常の分析	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4(11)	SI-4 (11) 情報システムのモニタリング \| 通信トラフィックにおける異常の分析	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4(16)	SI-4 (16) 情報システムのモニタリング \| モニタリング情報の相互関連付け	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4(16)	SI-4 (16) 情報システムのモニタリング \| モニタリング情報の相互関連付け	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4(20)	SI-4 (20) 情報システムのモニタリング \| 特権ユーザー	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」：「」ではなく「アクション」：「」で「効果」：「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。
CCCS-fPBMM-SI-4(23)	SI-4 (23) 情報システムのモニタリング \| ホストベースのデバイス	cloudtrail-enabled	AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウントたユーザーと、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。
CCCS-fPBMM-SI-4(23)	SI-4 (23) 情報システムのモニタリング \| ホストベースのデバイス	multi-region-cloudtrail-enabled	AWS CloudTrail は AWS 、マネジメントコンソールのアクションと API コールを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しが発生した日時を特定できます。 CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
CCCS-fPBMM-SI-4.A	SI-4.A 情報システムのモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4.A	SI-4.A 情報システムのモニタリング	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-4.A	SI-4.A 情報システムのモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4.A	SI-4.A 情報システムのモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-4.A	SI-4.A 情報システムのモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4.B	SI-4.B 情報システムのモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4.B	SI-4.B 情報システムのモニタリング	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-4.B	SI-4.B 情報システムのモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4.B	SI-4.B 情報システムのモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-4.B	SI-4.B 情報システムのモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4.C	SI-4.C 情報システムのモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4.C	SI-4.C 情報システムのモニタリング	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-4.C	SI-4.C 情報システムのモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4.C	SI-4.C 情報システムのモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-4.C	SI-4.C 情報システムのモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4.D	SI-4.D 情報システムのモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4.D	SI-4.D 情報システムのモニタリング	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-4.D	SI-4.D 情報システムのモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4.D	SI-4.D 情報システムのモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-4.D	SI-4.D 情報システムのモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4.E	SI-4.E 情報システムのモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4.E	SI-4.E 情報システムのモニタリング	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-4.E	SI-4.E 情報システムのモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4.E	SI-4.E 情報システムのモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-4.E	SI-4.E 情報システムのモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4.F	SI-4.F 情報システムのモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4.F	SI-4.F 情報システムのモニタリング	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-4.F	SI-4.F 情報システムのモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4.F	SI-4.F 情報システムのモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-4.F	SI-4.F 情報システムのモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-4.G	SI-4.G 情報システムのモニタリング	cloudwatch-alarm-action-check	Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
CCCS-fPBMM-SI-4.G	SI-4.G 情報システムのモニタリング	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-4.G	SI-4.G 情報システムのモニタリング	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-4.G	SI-4.G 情報システムのモニタリング	lambda-dlq-check	このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
CCCS-fPBMM-SI-4.G	SI-4.G 情報システムのモニタリング	securityhub-enabled	AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。
CCCS-fPBMM-SI-5.A	SI-5.A セキュリティアラート、勧告、および指示	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-5.B	SI-5.B セキュリティアラート、勧告、および指示	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-5.C	SI-5.C セキュリティアラート、勧告、および指示	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-5.D	SI-5.D セキュリティアラート、勧告、および指示	guardduty-enabled-centralized	Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。
CCCS-fPBMM-SI-7(1)	SI-7 (1) ソフトウェア、ファームウェア、および情報の整合性 \| 整合性の確認	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-7(7)	SI-7 (7) ソフトウェア、ファームウェア、および情報の整合性 \| 検出と対応の統合	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-7.A	SI-7.A ソフトウェア、ファームウェア、および情報の整合性	cloud-trail-log-file-validation-enabled	AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出なしで CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。
CCCS-fPBMM-SI-12.A	SI-12.A 情報の取り扱いと保持	cw-loggroup-retention-period-check	トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。

テンプレート

テンプレートは、 GitHub: カナダサイバーセキュリティセンター (CCCS) Medium Cloud Control Profile の「Operational Best Practices for Canadian Centre for Cyber Security」で入手できます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

BNM の「RMiT」に関する運用上のベストプラクティス

CIS AWS Foundations Benchmark v1.4 Level 1 の運用上のベストプラクティス