翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
FedRAMP(Moderate) に関する運用上のベストプラクティス
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、Federal Risk and Authorization Management Program (FedRAMP) と AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールは特定の AWS リソースに適用され、1 つ以上の FedRAMP コントロールに関連付けられます。「FedRAMP」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
このコンフォーマンスパックは、Payment Card Industry Qualified AWS Security Assessors (QSAs )、HITRUST Certified Common Security Framework Practitioners (CCSFP)、およびさまざまな業界フレームワークのガイダンスと評価を提供することを認定されたコンプライアンスプロフェッショナルのチームである Security Assurance Services LLC (AWS SAS) によって検証されました。 AWS SAS プロフェッショナルは、お客様が FedRAMP コントロールのサブセットに対応できるようにこのコンフォーマンスパックを設計しました。 CCSFPs
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースを作成して使用します。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| AC-2 (3) | 情報システムは、ユーザーの非アクティブな状態が 90 日を経過すると、自動的にアカウントを無効にします。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (3) | 情報システムは、ユーザーの非アクティブな状態が 90 日を経過すると、自動的にアカウントを無効にします。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに マネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (12)(a) | 組織: a。[Assignment: organization-defined atypical use (割り当て: 組織で定義された非定型の使用)] の情報システムアカウントをモニタリングします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| AC-2 (12)(a) | 組織: a。[Assignment: organization-defined atypical use (割り当て: 組織で定義された非定型の使用)] の情報システムアカウントをモニタリングします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに マネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースを作成して使用します。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに マネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、認証情報は承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースを作成して使用します。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースを作成して使用します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Service ( OpenSearch ServiceOpenSearch ) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーにすべての AWS Key Management Service キーに対するブロックされたアクションを含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに マネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの を作成して使用し AWS アカウント 、最小機能の原則を組み込むのに役立ちます。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-6 (10) | 情報システムは、非特権ユーザーが特権的機能を実行して、実装されたセキュリティの保護/対策を無効化、回避、変更することを防ぎます。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 (10) | 情報システムは、非特権ユーザーが特権的機能を実行して、実装されたセキュリティの保護/対策を無効化、回避、変更することを防ぎます。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 (10) | 情報システムは、非特権ユーザーが特権的機能を実行して、実装されたセキュリティの保護/対策を無効化、回避、変更することを防ぎます。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの を作成して使用し AWS アカウント 、最小機能の原則を組み込むのに役立ちます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | 認証情報 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が AWS Codebuild プロジェクト環境内に存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Service ( OpenSearch ServiceOpenSearch ) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの を作成して使用し AWS アカウント 、最小機能の原則を組み込むのに役立ちます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限できます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限できます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-7 (1) | 情報システムは、[Assignment: organization-defined audit fields within audit records (割り当て: 組織で定義された監査レコード内の監査フィールド)] に基づいて、対象のイベントの監査レコードを処理する機能を提供します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| AU-7 (1) | 情報システムは、[Assignment: organization-defined audit fields within audit records (割り当て: 組織で定義された監査レコード内の監査フィールド)] に基づいて、対象のイベントの監査レコードを処理する機能を提供します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AU-9 (2) | 情報システムは、少なくとも週に一度、監査記録を監査対象のシステムやコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントにバックアップします。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| AU-9 (2) | 情報システムは、少なくとも週に一度、監査記録を監査対象のシステムやコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントにバックアップします。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| AU-11 | 組織は、セキュリティインシデント after-the-fact の調査をサポートし、規制および組織の情報保持要件を満たすために、監査記録を少なくとも 90 日間保持します。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれます) を設定できます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Relational Database Service (Amazon RDS) インスタンスがパブリックでないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Relational Database Service (Amazon RDS) インスタンスがパブリックでないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限できます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager はマネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager はマネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (1) | 組織は、コンポーネントのインストール、削除、および情報システムの更新において不可欠な部分である情報システムコンポーネントのインベントリを更新します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-8 (1) | 組織は、コンポーネントのインストール、削除、および情報システムの更新において不可欠な部分である情報システムコンポーネントのインベントリを更新します。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager はマネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager はマネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1)、 requiredRetentionDays (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごとに、またはどちらか早い方でスナップショットを作成します。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1)、 requiredRetentionDays (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごとに、またはどちらか早い方でスナップショットを作成します。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| IA-2 | 情報システムは、組織のユーザー (または組織のユーザーに代わって実行するプロセス) を一意に識別し認証します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-2 | 情報システムは、組織のユーザー (または組織のユーザーに代わって実行するプロセス) を一意に識別し認証します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースを作成して使用します。 | |
| IA-5 (1)(a)(d)(e) | パスワードベースの認証のための情報システム: a。[Assignment: organization-defined requirements for case sensitivity, number of characters, mix of upper-case letters, lower-case letters, numbers, and special characters, including minimum requirements for each type (割り当て: 組織で定義された大文字と小文字の区別、文字数、大文字、小文字、数字、特殊文字の組み合わせに関する、各タイプの最小要件を含む要件)] のパスワードの複雑さを最小限に抑えます: d。[Assignment: organization- defined numbers for lifetime minimum, lifetime maximum (割り当て: 組織で定義されたライフタイムの最小および最大の数値)] のパスワードの最小および最大有効期間の制限を適用します: e。24 世代にわたるパスワードの再利用の禁止 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-5 (4) | 組織は、自動化されたツールを使用して、パスワード認証システムに [Assignment: organization-defined requirements (割り当て: 組織で定義された要件)] を満たす十分な強度があるかどうかを判断します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-5 (7) | 組織は、暗号化されていない静的オーセンティケーターが、アプリケーションやアクセススクリプトに埋め込まれたり、ファンクションキーに割り当てられたりしていないことを確認します。 | 認証情報 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が AWS Codebuild プロジェクト環境内に存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| IR-6 (1) | 組織は、セキュリティインシデントの報告をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| IR-6 (1) | 組織は、セキュリティインシデントの報告をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| IR-6 (1) | 組織は、セキュリティインシデントの報告をサポートするための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| IR-7 (1) | 組織は、インシデント対応に関連する情報およびサポートの可用性を高めるための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| IR-7 (1) | 組織は、インシデント対応に関連する情報およびサポートの可用性を高めるための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| IR-7 (1) | 組織は、インシデント対応に関連する情報およびサポートの可用性を高めるための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| RA-5(1) | 組織は、スキャン対象の情報システムの脆弱性を簡単に更新できる機能を含む脆弱性スキャンツールを採用しています。補足ガイダンス: 新しい脆弱性が発見され、発表され、スキャン方法が開発されたときは、スキャン対象の脆弱性をすぐに更新する必要があります。この更新プロセスにより、情報システムの潜在的な脆弱性が可能な限り迅速に特定され、対処されます。関連コントロール: SI-3、SI-7。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| RA-5(1) | 組織は、スキャン対象の情報システムの脆弱性を簡単に更新できる機能を含む脆弱性スキャンツールを採用しています。補足ガイダンス: 新しい脆弱性が発見され、発表され、スキャン方法が開発されたときは、スキャン対象の脆弱性をすぐに更新する必要があります。この更新プロセスにより、情報システムの潜在的な脆弱性が可能な限り迅速に特定され、対処されます。関連コントロール: SI-3、SI-7。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| RA-5(1) | 組織は、スキャン対象の情報システムの脆弱性を簡単に更新できる機能を含む脆弱性スキャンツールを採用しています。補足ガイダンス: 新しい脆弱性が発見され、発表され、スキャン方法が開発されたときは、スキャン対象の脆弱性をすぐに更新する必要があります。この更新プロセスにより、情報システムの潜在的な脆弱性が可能な限り迅速に特定され、対処されます。関連コントロール: SI-3、SI-7。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| RA-5 | 組織: a。情報システムおよびホストされているアプリケーションの脆弱性を毎月スキャンし [operating system/infrastructure; monthly web applications and databases (オペレーティングシステム/インフラストラクチャ、毎月のウェブアプリケーションおよびデータベース)]、システム/アプリケーションに影響を与える可能性のある新たな脆弱性が特定され、報告された場合にもスキャンします: b。ツール間の相互運用性を促進し、脆弱性管理プロセスの一部を自動化するために、以下の標準を使用した脆弱性スキャンツールおよびテクノロジーを採用します: 1。プラットフォーム、ソフトウェアの欠陥、不適切な構成を列挙します: 2。チェックリストとテスト手順のフォーマット: および 3。脆弱性による影響の測定: c。脆弱性スキャンレポートとセキュリティコントロール評価の結果を分析します: d。正当性のある脆弱性の修正: 組織のリスク評価に基づき、発見日から (30) 日以内に緩和された高リスクの脆弱性、発見日から (90) 日以内に緩和された中程度のリスクの脆弱性、発見日から (180) 日以内に緩和された低リスクの脆弱性: および e。脆弱性スキャンプロセスおよびセキュリティコントロール評価から取得した情報を [Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] と共有し、他の情報システムにおける同様の脆弱性 (システム的な弱点や欠陥) を排除します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| RA-5 | 組織: a。情報システムおよびホストされているアプリケーションの脆弱性をスキャンし [Assignment: organization-defined frequency and/or randomly in accordance with organization-defined process (割り当て: 組織で定義された頻度および/またはプロセスに従ったランダムな頻度)]、システム/アプリケーションに影響を与える可能性のある新たな脆弱性が特定され、報告された場合にもスキャンします: b。ツール間の相互運用性を促進し、脆弱性管理プロセスの一部を自動化するために、以下の標準を使用した脆弱性スキャンツールおよびテクノロジーを採用します: 1。プラットフォーム、ソフトウェアの欠陥、不適切な構成を列挙します: 2。チェックリストとテスト手順のフォーマット: および 3。脆弱性による影響の測定: c。脆弱性スキャンレポートとセキュリティコントロール評価の結果を分析します: d。リスクの組織的評価に従って、正当な脆弱性を修正します: [Assignment: organization-defined response times (割り当て: 組織で定義された応答時間)]: および e。脆弱性スキャンプロセスおよびセキュリティコントロール評価から取得した情報を [Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] と共有し、他の情報システムにおける同様の脆弱性 (システム的な弱点や欠陥) を排除します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | 認証情報 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が AWS Codebuild プロジェクト環境内に存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | GitHub または Bitbucket ソースリポジトリ URL に、 AWS Codebuild プロジェクト環境内の個人用アクセストークン、サインイン認証情報が含まれていないことを確認します。個人アクセストークンやサインイン認証情報の代わりに OAuth を使用して、 GitHub または Bitbucket リポジトリへのアクセスの認可を付与します。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。6.4.7 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限できます。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-4 | 情報システムは、共有システムリソースからの不正および意図しない情報転送を防止します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限できます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | Amazon Relational Database Service (Amazon RDS) インスタンスがパブリックでないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限できます。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | 保管中のデータを保護するために、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-7(5) | マネージドインターフェイスの情報システムは、デフォルトでネットワーク通信トラフィックを拒否し、例外的にネットワーク通信トラフィックを許可します (つまりすべてを拒否し、例外的に許可)。補足ガイダンス: この制御の強化は、インバウンドネットワーク通信トラフィックとアウトバウンドネットワーク通信トラフィックの両方に適用されます。拒否オール permit-by-exception のネットワーク通信トラフィックポリシーにより、必須で承認された接続のみが許可されます。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Relational Database Service (Amazon RDS) インスタンスがパブリックでないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Relational Database Service (Amazon RDS) インスタンスがパブリックでないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限できます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | キーローテーションを有効にして、キーが暗号化期間の終了後にローテーションされるようにします。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | 保管中のデータを保護するために、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されるようにスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するために、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されるようにスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するため、 SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保管中に存在する可能性があるため、保管中の暗号化を有効にして、そのデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するため、 SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保管中に存在する可能性があるため、保管中の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用した暗号化が必要であることを確認してください。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するために、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、 SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保管中に存在する可能性があるため、保管中の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用した暗号化が必要であることを確認してください。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが存在する可能性があるため、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認してください。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するために、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されるようにスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するために、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、 SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保管中に存在する可能性があるため、保管中の暗号化を有効にして、そのデータを保護します。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager はマネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| SI-3 | 組織: a。情報システムの入口と出口に悪意のあるコードに対する保護メカニズムを採用して、悪意のあるコードを検出して根絶します。b。組織の構成管理ポリシーと手順に従って、新しいリリースが公開されるたびに、悪意のあるコードに対する保護メカニズムを更新します。c。悪意あるコードの保護機構を 1 に設定します。組織のセキュリティポリシーに従ってファイルがダウンロード、開く、または実行されるときに、情報システム [Assignment: organization-defined frequency (割り当て: 組織が定める頻度)] を定期的にスキャンし、[Selection(one or more); endpoint; network entry/exit points (選択 (1 つ以上)、エンドポイント、ネットワークの入口/出口ポイント)] で外部ソースからのファイルのリアルタイムスキャンを実行します。2. 悪意のあるコードが検出されると、[Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action] (選択 (1 つ以上): 悪意のあるコードのブロック、悪意のあるコードの隔離、管理者にアラートを送信)、割り当て:組織であるコードのブロが行われます。悪意のあるコードの検出および根絶中に受信する誤検出、およびその結果生じる情報システムの可用性への潜在的な影響に対処します。補足ガイダンス: 情報システムの入口と出口には、ファイアウォール、電子メールサーバー、ウェブサーバー、プロキシサーバー、リモートアクセスサーバー、ワークステーション、ノートパソコン、モバイルデバイスなどが含まれます。悪意のあるコードには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。悪意のあるコードは、さまざまな形式 (UUENCODE、Unicode など) でエンコードしたり、圧縮ファイルや非表示ファイルに含まれたり、ステガノグラフィを使用してファイルに非表示にしたりすることもできます。悪意のあるコードは、ウェブアクセス、電子メール、電子メールの添付ファイル、ポータブルストレージデバイスなど、さまざまな方法で転送される可能性があります。悪意のあるコードの挿入は、情報システムの脆弱性を悪用することによって行われます。悪意のあるコードに対する保護メカニズムには、たとえば、ウイルス対策シグネチャの定義やレピュテーションベースの技術が含まれます。悪意のあるコードの影響を制限または排除するためのさまざまな技術や方法が存在します。広範囲にわたる構成管理と包括的なソフトウェアの整合性の制御は、不正なコードの実行を防止するのに効果的な場合があります。商用 off-the-shelf ソフトウェアに加えて、カスタムビルドのソフトウェアにも悪意のあるコードが存在する可能性があります。これには、ロジックボム、バックドア、および組織のミッション/ビジネス機能に影響を与える可能性のあるその他のタイプのサイバー攻撃などが含まれます。従来の悪意のあるコードに対する保護メカニズムでは、このようなコードを常に検出できるとは限りません。このような状況では、組織は代わりに、ソフトウェアが意図した機能以外を実行しないようにするために、安全なコーディング手法、構成の管理と制御、信頼できる調達プロセス、監視方法などの他の保護手段を使用しています。組織は、悪意のあるコードの検出に対応するため、さまざまなアクションが必要であると判断する場合があります。例えば、組織は、定期的なスキャン中の悪意のあるコードの検出に対応するアクション、悪意のあるダウンロードの検出に対応するアクション、および/またはファイルを開いたり実行しようとしたときの悪意のある検出に対応するアクションを定義できます。関連コントロール: CM-3、MP-2、SA-4、SA-8、SA-12、SA-13、SC-7、SC-26、SC-44、SI-2、SI-4、SI-7。参考文献: NIST 特別刊行物 800-83。 | 認証情報 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が AWS Codebuild プロジェクト環境内に存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| SI-3 | 組織: a。情報システムの入口と出口に悪意のあるコードに対する保護メカニズムを採用して、悪意のあるコードを検出して根絶します。b。組織の構成管理ポリシーと手順に従って、新しいリリースが公開されるたびに、悪意のあるコードに対する保護メカニズムを更新します。c。悪意あるコードの保護機構を 1 に設定します。組織のセキュリティポリシーに従ってファイルがダウンロード、開く、または実行されるときに、情報システム [Assignment: organization-defined frequency (割り当て: 組織が定める頻度)] を定期的にスキャンし、[Selection(one or more); endpoint; network entry/exit points (選択 (1 つ以上)、エンドポイント、ネットワークの入口/出口ポイント)] で外部ソースからのファイルのリアルタイムスキャンを実行します。2. 悪意のあるコードが検出されると、[Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action] (選択 (1 つ以上): 悪意のあるコードのブロック、悪意のあるコードの隔離、管理者にアラートを送信)、割り当て:組織であるコードのブロが行われます。悪意のあるコードの検出および根絶中に受信する誤検出、およびその結果生じる情報システムの可用性への潜在的な影響に対処します。補足ガイダンス: 情報システムの入口と出口には、ファイアウォール、電子メールサーバー、ウェブサーバー、プロキシサーバー、リモートアクセスサーバー、ワークステーション、ノートパソコン、モバイルデバイスなどが含まれます。悪意のあるコードには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。悪意のあるコードは、さまざまな形式 (UUENCODE、Unicode など) でエンコードしたり、圧縮ファイルや非表示ファイルに含まれたり、ステガノグラフィを使用してファイルに非表示にしたりすることもできます。悪意のあるコードは、ウェブアクセス、電子メール、電子メールの添付ファイル、ポータブルストレージデバイスなど、さまざまな方法で転送される可能性があります。悪意のあるコードの挿入は、情報システムの脆弱性を悪用することによって行われます。悪意のあるコードに対する保護メカニズムには、たとえば、ウイルス対策シグネチャの定義やレピュテーションベースの技術が含まれます。悪意のあるコードの影響を制限または排除するためのさまざまな技術や方法が存在します。広範囲にわたる構成管理と包括的なソフトウェアの整合性の制御は、不正なコードの実行を防止するのに効果的な場合があります。商用 off-the-shelf ソフトウェアに加えて、カスタムビルドのソフトウェアにも悪意のあるコードが存在する可能性があります。これには、ロジックボム、バックドア、および組織のミッション/ビジネス機能に影響を与える可能性のあるその他のタイプのサイバー攻撃などが含まれます。従来の悪意のあるコードに対する保護メカニズムでは、このようなコードを常に検出できるとは限りません。このような状況では、組織は代わりに、ソフトウェアが意図した機能以外を実行しないようにするために、安全なコーディング手法、構成の管理と制御、信頼できる調達プロセス、監視方法などの他の保護手段を使用しています。組織は、悪意のあるコードの検出に対応するため、さまざまなアクションが必要であると判断する場合があります。例えば、組織は、定期的なスキャン中の悪意のあるコードの検出に対応するアクション、悪意のあるダウンロードの検出に対応するアクション、および/またはファイルを開いたり実行しようとしたときの悪意のある検出に対応するアクションを定義できます。関連コントロール: CM-3、MP-2、SA-4、SA-8、SA-12、SA-13、SC-7、SC-26、SC-44、SI-2、SI-4、SI-7。参考文献: NIST 特別刊行物 800-83。 | GitHub または Bitbucket ソースリポジトリ URL に、 AWS Codebuild プロジェクト環境内の個人用アクセストークン、サインイン認証情報が含まれていないことを確認します。個人アクセストークンやサインイン認証情報の代わりに OAuth を使用して、 GitHub または Bitbucket リポジトリへのアクセスの認可を付与します。 | |
| SI-3 | 組織: a。情報システムの入口と出口に悪意のあるコードに対する保護メカニズムを採用して、悪意のあるコードを検出して根絶します。b。組織の構成管理ポリシーと手順に従って、新しいリリースが公開されるたびに、悪意のあるコードに対する保護メカニズムを更新します。c。悪意あるコードの保護機構を 1 に設定します。組織のセキュリティポリシーに従ってファイルがダウンロード、開く、または実行されるときに、情報システム [Assignment: organization-defined frequency (割り当て: 組織が定める頻度)] を定期的にスキャンし、[Selection(one or more); endpoint; network entry/exit points (選択 (1 つ以上)、エンドポイント、ネットワークの入口/出口ポイント)] で外部ソースからのファイルのリアルタイムスキャンを実行します。2. 悪意のあるコードが検出されると、[Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action] (選択 (1 つ以上): 悪意のあるコードのブロック、悪意のあるコードの隔離、管理者にアラートを送信)、割り当て:組織であるコードのブロが行われます。悪意のあるコードの検出および根絶中に受信する誤検出、およびその結果生じる情報システムの可用性への潜在的な影響に対処します。補足ガイダンス: 情報システムの入口と出口には、ファイアウォール、電子メールサーバー、ウェブサーバー、プロキシサーバー、リモートアクセスサーバー、ワークステーション、ノートパソコン、モバイルデバイスなどが含まれます。悪意のあるコードには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。悪意のあるコードは、さまざまな形式 (UUENCODE、Unicode など) でエンコードしたり、圧縮ファイルや非表示ファイルに含まれたり、ステガノグラフィを使用してファイルに非表示にしたりすることもできます。悪意のあるコードは、ウェブアクセス、電子メール、電子メールの添付ファイル、ポータブルストレージデバイスなど、さまざまな方法で転送される可能性があります。悪意のあるコードの挿入は、情報システムの脆弱性を悪用することによって行われます。悪意のあるコードに対する保護メカニズムには、たとえば、ウイルス対策シグネチャの定義やレピュテーションベースの技術が含まれます。悪意のあるコードの影響を制限または排除するためのさまざまな技術や方法が存在します。広範囲にわたる構成管理と包括的なソフトウェアの整合性の制御は、不正なコードの実行を防止するのに効果的な場合があります。商用 off-the-shelf ソフトウェアに加えて、カスタムビルドのソフトウェアにも悪意のあるコードが存在する可能性があります。これには、ロジックボム、バックドア、および組織のミッション/ビジネス機能に影響を与える可能性のあるその他のタイプのサイバー攻撃などが含まれます。従来の悪意のあるコードに対する保護メカニズムでは、このようなコードを常に検出できるとは限りません。このような状況では、組織は代わりに、ソフトウェアが意図した機能以外を実行しないようにするために、安全なコーディング手法、構成の管理と制御、信頼できる調達プロセス、監視方法などの他の保護手段を使用しています。組織は、悪意のあるコードの検出に対応するため、さまざまなアクションが必要であると判断する場合があります。例えば、組織は、定期的なスキャン中の悪意のあるコードの検出に対応するアクション、悪意のあるダウンロードの検出に対応するアクション、および/またはファイルを開いたり実行しようとしたときの悪意のある検出に対応するアクションを定義できます。関連コントロール: CM-3、MP-2、SA-4、SA-8、SA-12、SA-13、SC-7、SC-26、SC-44、SI-2、SI-4、SI-7。参考文献: NIST 特別刊行物 800-83。 | Amazon Elastic Container Service (Amazon ECS) コンテナで使用できる最大メモリを制限することで、コンテナへの悪意のあるアクセスが発生しても、リソースの使用量が悪用されることはありません。 | |
| SI-4 (1) | 組織は、個々の侵入検知ツールを情報システム全体の侵入検知システムに接続し、設定します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションと API コールを記録します。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合 AWS、 を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれます) を設定できます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティIPs と機械学習のリストが含まれます。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない検出結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、 daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SI-7 (1) | 情報システムは、少なくとも月に 1 回、セキュリティ関連の整合性をチェックするイベントを実行します。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。 | |
| SI-7 (1) | 情報システムは、少なくとも月に 1 回、セキュリティ関連の整合性をチェックするイベントを実行します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-7 (1) | 情報システムは、少なくとも月に 1 回、セキュリティ関連の整合性をチェックするイベントを実行します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で要求される Systems Manager AWS の Amazon EC2 インスタンスパッチコンプライアンスをチェックする。 | |
| SI-7 | 組織は、[Assignment: organization-defined software, firmware, and information (割り当て: 組織で定義されたソフトウェア、ファームウェア、情報)] に対する不正な変更を検出するための整合性検証ツールを採用します。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1)、 requiredRetentionDays (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するには、Amazon DynamoDB リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごとに、またはどちらか早い方でスナップショットを作成します。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| SI-16 | 情報システムは、不正なコードの実行からメモリを保護するために [Assignment: organization-defined security safeguards] (割り当て:組織が定めるセキュリティ対策) を実装しています。補足ガイダンス: 一部の攻撃者は、実行不可能なメモリ領域または禁止されているメモリ位置でコードを実行することを目的として攻撃を仕掛けます。メモリを保護するために採用されているセキュリティ保護手段には、データ実行防止やアドレス空間配置のランダム化などがあります。データ実行防止の保護手段は、ハードウェアで強制することも、メカニズムの強度を高めるハードウェアを使用してソフトウェアで強制することもできます。関連コントロール:AC-25、SC-3。制御: なし。参考: なし。 | Amazon Elastic Container Service (Amazon ECS) コンテナで使用できる最大メモリを制限することで、コンテナへの悪意のあるアクセスが発生しても、リソースの使用量が悪用されることはありません。 |
テンプレート
テンプレートは、 GitHub: FedRAMP の運用上のベストプラクティス (中級)
