翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SME 向け ENISA サイバーセキュリティガイドの運用上のベストプラクティス
コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、欧州連合サイバーセキュリティ機関 (ENISA) の SME 向けサイバーセキュリティガイドと、AWS マネージド Config ルールとの間のサンプルマッピングを提供します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の SME 向け ENISA サイバーセキュリティガイドのコントロールに関連付けられます。SME 向け ENISA サイバーセキュリティガイドの 1 つのコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
このコンフォーマンスパックのサンプルテンプレートには、SME 向け ENISA サイバーセキュリティガイドから適合されたコントロールへのマッピングが含まれています。SME 向け ENISA サイバーセキュリティガイドは、「Cybersecurity guide for SMEs - 12 steps to securing your business
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| 1_DEVELOP GOOD CYBERSECURITY CULTURE: PUBLISH CYBERSECURITY POLICIES (1_優れたサイバーセキュリティ文化を育成する:サイバーセキュリティポリシーを公開) | サイバーセキュリティでは、明確かつ具体的なルールを概説する必要があります | security-awareness-program-exists (Process Check) | 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。 |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | このルールでは、アクセスコントロールリスト (ACL) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。ACL は、AWS Identity and Access Management (IAM) より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムです。ベストプラクティスは、ACL の代わりに、IAM ポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することです。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Elastic Load Balancing (ELB) が、http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elasticsearch Service (Amazon ES) ドメインで暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを適用すると、アクセスポイントのユーザーを、指定されたサブディレクトリのファイルにのみアクセスさせ、データアクセスを制限することができます。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密性のある保管中のデータを保護するため、AWS CodeBuild アーティファクトで暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密性のある保管中のデータを保護するため、Amazon S3 に保存された AWS CodeBuild ログで暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Elasticsearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | インターネットゲートウェイが、認可された Amazon Virtual Private Cloud (Amazon VPC) にのみアタッチされるようにして、AWS クラウドのリソースへのアクセスを管理します。インターネットゲートウェイは、Amazon VPC との間の双方向インターネットアクセスを可能にしますが、これにより Amazon VPC リソースへの不正アクセスが発生する可能性があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 1_優れたサイバーセキュリティ文化の構築: データ保護を忘れない | EU 一般データ保護規則 1 に基づき、EU/EEA 居住者の個人データを処理または保存するすべての中小企業は、そのデータを保護するために適切なセキュリティコントロールが実施されていることを確認する必要があります。この中には、中小企業の代理として働く第三者が適切なセキュリティ対策を講じていることを保証することも含まれます。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 2_適切なトレーニングを提供する | すべての従業員がサイバーセキュリティのさまざまな脅威を認識して対処できるように、従業員に対して定期的にサイバーセキュリティ意識トレーニングを実施します。これらのトレーニングは中小企業に合わせて調整され、実際の状況に焦点を当てたものである必要があります。社内のサイバーセキュリティを管理する責任者に専門的なサイバーセキュリティトレーニングを行い、業務遂行に必要なスキルとコンピテンシーを確保できるようにします。 | security-awareness-program-exists (Process Check) | 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。 |
| 4_インシデント対応計画を作成する | 正式なインシデント対応計画を作成します。この計画では、すべてのセキュリティインシデントに専門的かつ適切な方法でタイムリーに対応できるようにするための明確なガイドライン、役割、および責任を文書化します。セキュリティの脅威に迅速に対応するために、疑わしいアクティビティやセキュリティ違反を監視して違反発生時にアラートを作成できるツールについて調査します。 | response-plan-exists-maintained (Process Check) | インシデント対応計画が確立および維持され、責任者に配布されていることを確認します。 |
| 5_システムへの安全なアクセス | すべての人に対して、少なくとも 3 つのランダムな一般的な単語を組み合わせた、覚えやすさとセキュリティの両方で非常に優れたパスフレーズを使用するよう奨励してください。一般的なパスワードを選択した場合:-小文字と大文字、場合によっては数字と特殊文字を使用して長くしてください。-「password」のような簡単すぎるフレーズ、「abc」や「123」のような連続した文字や数字は避けてください。- オンライン上で入手できる個人情報の使用は避けてください。またパスフレーズやパスワードを使用する際は、決して他の場所で再利用しないでください。- 同僚と共有しないでください。- 多要素認証を有効化します。- 専用のパスワードマネージャーを使用します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 5_システムへの安全なアクセス | すべての人に対して、少なくとも 3 つのランダムな一般的な単語を組み合わせた、覚えやすさとセキュリティの両方で非常に優れたパスフレーズを使用するよう奨励してください。一般的なパスワードを選択した場合:-小文字と大文字、場合によっては数字と特殊文字を使用して長くしてください。-「password」のような簡単すぎるフレーズ、「abc」や「123」のような連続した文字や数字は避けてください。- オンライン上で入手できる個人情報の使用は避けてください。またパスフレーズやパスワードを使用する際は、決して他の場所で再利用しないでください。- 同僚と共有しないでください。- 多要素認証を有効化します。- 専用のパスワードマネージャーを使用します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 5_システムへの安全なアクセス | すべての人に対して、少なくとも 3 つのランダムな一般的な単語を組み合わせた、覚えやすさとセキュリティの両方で非常に優れたパスフレーズを使用するよう奨励してください。一般的なパスワードを選択した場合:-小文字と大文字、場合によっては数字と特殊文字を使用して長くしてください。-「password」のような簡単すぎるフレーズ、「abc」や「123」のような連続した文字や数字は避けてください。- オンライン上で入手できる個人情報の使用は避けてください。またパスフレーズやパスワードを使用する際は、決して他の場所で再利用しないでください。- 同僚と共有しないでください。- 多要素認証を有効化します。- 専用のパスワードマネージャーを使用します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 5_システムへの安全なアクセス | すべての人に対して、少なくとも 3 つのランダムな一般的な単語を組み合わせた、覚えやすさとセキュリティの両方で非常に優れたパスフレーズを使用するよう奨励してください。一般的なパスワードを選択した場合:-小文字と大文字、場合によっては数字と特殊文字を使用して長くしてください。-「password」のような簡単すぎるフレーズ、「abc」や「123」のような連続した文字や数字は避けてください。- オンライン上で入手できる個人情報の使用は避けてください。またパスフレーズやパスワードを使用する際は、決して他の場所で再利用しないでください。- 同僚と共有しないでください。- 多要素認証を有効化します。- 専用のパスワードマネージャーを使用します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| 5_システムへの安全なアクセス | すべての人に対して、少なくとも 3 つのランダムな一般的な単語を組み合わせた、覚えやすさとセキュリティの両方で非常に優れたパスフレーズを使用するよう奨励してください。一般的なパスワードを選択した場合:-小文字と大文字、場合によっては数字と特殊文字を使用して長くしてください。-「password」のような簡単すぎるフレーズ、「abc」や「123」のような連続した文字や数字は避けてください。- オンライン上で入手できる個人情報の使用は避けてください。またパスフレーズやパスワードを使用する際は、決して他の場所で再利用しないでください。- 同僚と共有しないでください。- 多要素認証を有効化します。- 専用のパスワードマネージャーを使用します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| 6_デバイスのセキュリティ確保: ソフトウェアにパッチを適用し、最新の状態に保つ | 集中型プラットフォームを使用してパッチ適用を管理するのが理想的です。中小企業には、次のことを強くお勧めします。- すべてのソフトウェアを定期的に更新してください。- 可能な限り、自動アップデートを有効にしてください。- 手動更新が必要なソフトウェアとハードウェアを特定します。- モバイルおよび IoT デバイスを考慮してください。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| 6_デバイスのセキュリティ確保: ソフトウェアにパッチを適用し、最新の状態に保つ | 集中型プラットフォームを使用してパッチ適用を管理するのが理想的です。中小企業には、次のことを強くお勧めします。- すべてのソフトウェアを定期的に更新してください。- 可能な限り、自動アップデートを有効にしてください。- 手動更新が必要なソフトウェアとハードウェアを特定します。- モバイルおよび IoT デバイスを考慮してください。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| 6_デバイスのセキュリティ確保: ソフトウェアにパッチを適用し、最新の状態に保つ | 集中型プラットフォームを使用してパッチ適用を管理するのが理想的です。中小企業には、次のことを強くお勧めします。- すべてのソフトウェアを定期的に更新してください。- 可能な限り、自動アップデートを有効にしてください。- 手動更新が必要なソフトウェアとハードウェアを特定します。- モバイルおよび IoT デバイスを考慮してください。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| 6_デバイスのセキュリティ確保: ソフトウェアにパッチを適用し、最新の状態に保つ | 集中型プラットフォームを使用してパッチ適用を管理するのが理想的です。中小企業には、次のことを強くお勧めします。- すべてのソフトウェアを定期的に更新してください。- 可能な限り、自動アップデートを有効にしてください。- 手動更新が必要なソフトウェアとハードウェアを特定します。- モバイルおよび IoT デバイスを考慮してください。 | セキュリティの更新やパッチは、AWS Fargate のタスクに自動的にデプロイされます。AWS Fargate のプラットフォームバージョンに影響を与えるセキュリティ上の問題が見つかった場合、AWS はそのプラットフォームバージョンにパッチを適用します。AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するには、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。 | |
| 6_デバイスのセキュリティ確保: ソフトウェアにパッチを適用し、最新の状態に保つ | 集中型プラットフォームを使用してパッチ適用を管理するのが理想的です。中小企業には、次のことを強くお勧めします。- すべてのソフトウェアを定期的に更新してください。- 可能な限り、自動アップデートを有効にしてください。- 手動更新が必要なソフトウェアとハードウェアを特定します。- モバイルおよび IoT デバイスを考慮してください。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| 6_デバイスのセキュリティ確保: ソフトウェアにパッチを適用し、最新の状態に保つ | 集中型プラットフォームを使用してパッチ適用を管理するのが理想的です。中小企業には、次のことを強くお勧めします。- すべてのソフトウェアを定期的に更新してください。- 可能な限り、自動アップデートを有効にしてください。- 手動更新が必要なソフトウェアとハードウェアを特定します。- モバイルおよび IoT デバイスを考慮してください。 | Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。 | |
| 6_デバイスのセキュリティ確保: ソフトウェアにパッチを適用し、最新の状態に保つ | 集中型プラットフォームを使用してパッチ適用を管理するのが理想的です。中小企業には、次のことを強くお勧めします。- すべてのソフトウェアを定期的に更新してください。- 可能な限り、自動アップデートを有効にしてください。- 手動更新が必要なソフトウェアとハードウェアを特定します。- モバイルおよび IoT デバイスを考慮してください。 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密性のある保管中のデータを保護するため、AWS CodeBuild アーティファクトで暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密性のある保管中のデータを保護するため、Amazon S3 に保存された AWS CodeBuild ログで暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elasticsearch Service (Amazon ES) ドメインで暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Amazon Elasticsearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 6_デバイスのセキュリティ確保: 暗号化 | データを暗号化して保護します。中小企業では、ノートパソコン、スマートフォン、タブレットなどのモバイルデバイスに保存されているデータを確実に暗号化する必要があります。ホテルや空港の WiFi ネットワークなどの公開ネットワーク経由で転送されるデータについては、バーチャルプライベートネットワーク (VPN) を使用するか、SSL/TLS プロトコルを使用した安全な接続を介してウェブサイトにアクセスすることにより、データが確実に暗号化されるようにします。インターネット経由で送信されるクライアントデータを保護するために、自社のウェブサイトに適切な暗号化技術が採用されていることを確認します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | AWS Network Firewall ポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | AWS WAF に空でないルールがあることを確認します。条件のないルールは、意図しない動作を引き起こす可能性があります。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | AWS WAF に空でないルールグループがあることを確認します。空のルールグループは、意図しない動作を引き起こす可能性があります。 | |
| 7_ネットワークのセキュリティ確保: ファイアウォールの使用 | ファイアウォールは、ネットワークに出入りするトラフィックを管理するもので、中小企業システムの保護に不可欠なツールです。ファイアウォールは、すべての重要なシステムを保護するために展開する必要がありますが、特に自社のネットワークをインターネットから保護するために、ファイアウォールを使用する必要があります。 | AWS WAF にアタッチされたウェブ ACL には、ウェブリクエストを検査および制御する、ルールおよびルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、WAF による検出または処理なしに通過します。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | Amazon Elasticsearch service ドメインでエラーログが有効になっていて、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7_ネットワークのセキュリティ確保: リモートアクセスソリューションの見直し | 中小企業は、リモートアクセスツールを定期的に見直して、特に以下について安全性を確認する必要があります。- すべてのリモートアクセスソフトウェアにパッチが適用され、最新であることを確認します。- 疑わしい地理的な場所や特定の IP アドレスからのリモートアクセスを制限します。- 従業員のリモートアクセスは、作業に必要なシステムとコンピュータにのみ制限します。- リモートアクセスに強力なパスワードを適用し、可能な場合は多要素認証を有効にします。- モニタリングとアラートを有効にして、疑わしい攻撃や通常とは異なる疑わしいアクティビティを警告します。 | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| 9_バックアップのセキュリティ確保 | ランサムウェア攻撃などの災害からの復旧にはバックアップが有効であるため、主要な組織体制を復旧できるようにバックアップを保守管理する必要があります。次のバックアップルールを適用する必要があります。- バックアップは定期的に実行し、可能な限り自動化します。- バックアップは中小企業の本番環境とは別に保持します。- バックアップが特に拠点間で移動される場合には暗号化するようにします。- バックアップからデータを定期的にリストアする機能をテストします。理想的には、最初から最後までのフルリストアを定期的にテストする必要があります。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| 11_オンラインサイトのセキュリティ確保 | 中小企業は、オンラインウェブサイトが安全な方法で構成および維持され、クレジットカードデータなどの個人データや財務情報が適切に保護されていることを確認する必要があります。これには、ウェブサイトの潜在的なセキュリティの弱点を特定するための定期的なセキュリティテストの実施や、サイトが適切に維持および更新されていることを確認するための定期的なレビューの実施が含まれます。 | vuln-management-plan-exists (Process Check) | 環境の脆弱性に対処するためのプロセスを正式に定義するため、脆弱性管理計画が策定され、実施されていることを確認します。 |
テンプレート
テンプレートは、GitHub の「Operational Best Practices for ENISA Cyber Security guide for SMEs
