翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
FedRAMP(Moderate) に関する運用上のベストプラクティス
コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、「Federal Risk and Authorization Management Program (FedRAMP)」と、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の「FedRAMP」によるコントロールに関連付けられます。「FedRAMP」によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
このコンフォーマンスパックは、AWS Security Assurance Services LLC (AWS SAS) によって検証されました。SAS は、Payment Card Industry Qualified Security Assessors (QSA)、HITRUST Certified Common Security Framework Practitioners (CCSFP)、およびコンプライアンスの専門家からなる、さまざまな業界のフレームワークにガイダンスと評価を提供することを認定されたチームです。AWSこのコンフォーマンスパックは、SAS プロフェッショナルによって、お客様が「FedRAMP」によるコントロールのサブ集合に対応できるよう設計されました。
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | 組織のポリシーが指定した通り IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-2 (3) | 情報システムは、ユーザーの非アクティブな状態が 90 日を経過すると、自動的にアカウントを無効にします。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (3) | 情報システムは、ユーザーの非アクティブな状態が 90 日を経過すると、自動的にアカウントを無効にします。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2(7) | 組織: (a) 許可された情報システムへのアクセスと特権をロール別に整理するロールベースのアクセススキームに従って、特権ユーザーを確立および管理し、(b) 特権的ロールの割り当てを監視し、(c) 特権ロールの割り当てが適切でない場合、[Assignment: organization-defined actions (割り当て: 組織で定義されたアクション)] を実行します。補足ガイダンス: 特権ロールとは、一般ユーザーには実行が許可されていない特定のセキュリティ関連の機能を個人が実行できるようにする、組織が定義したロールで、個人に割り当てられます。これらの特権ロールには、キー管理、アカウント管理、ネットワークおよびシステム管理、データベース管理、ウェブ管理などが含まれます。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (12)(a) | 組織: a。[Assignment: organization-defined atypical use (割り当て: 組織で定義された非定型の使用)] の情報システムアカウントをモニタリングします。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AC-2 (12)(a) | 組織: a。[Assignment: organization-defined atypical use (割り当て: 組織で定義された非定型の使用)] の情報システムアカウントをモニタリングします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | 組織のポリシーが指定した通り IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | 組織のポリシーが指定した通り IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-6 (10) | 情報システムは、非特権ユーザーが特権的機能を実行して、実装されたセキュリティの保護/対策を無効化、回避、変更することを防ぎます。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 (10) | 情報システムは、非特権ユーザーが特権的機能を実行して、実装されたセキュリティの保護/対策を無効化、回避、変更することを防ぎます。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 (10) | 情報システムは、非特権ユーザーが特権的機能を実行して、実装されたセキュリティの保護/対策を無効化、回避、変更することを防ぎます。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査することができるかどうかを判断します。成功および失敗したアカウントのログオンイベント、アカウント管理イベント、オブジェクトへのアクセス、ポリシー変更、特権的機能、プロセス追跡、システムイベント。ウェブアプリケーションの場合: すべての管理者によるアクティビティ、認証のチェック、認可のチェック、データの削除、データへのアクセス、データの変更、アクセス許可の変更。d。情報システム内で以下のイベントを監査することを決定します。[organization-defined subset of the auditable events defined in AU-2 a to be audited continually for each identified event (AU-2 a で定義された監査可能なイベントの組織定義のサブ集合で、特定された各イベントが継続的に監査される)]。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-7 (1) | 情報システムは、[Assignment: organization-defined audit fields within audit records (割り当て: 組織で定義された監査レコード内の監査フィールド)] に基づいて、対象のイベントの監査レコードを処理する機能を提供します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AU-7 (1) | 情報システムは、[Assignment: organization-defined audit fields within audit records (割り当て: 組織で定義された監査レコード内の監査フィールド)] に基づいて、対象のイベントの監査レコードを処理する機能を提供します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AU-9 (2) | 情報システムは、少なくとも週に一度、監査記録を監査対象のシステムやコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントにバックアップします。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| AU-9 (2) | 情報システムは、少なくとも週に一度、監査記録を監査対象のシステムやコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントにバックアップします。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| AU-11 | 組織は、セキュリティインシデントの事後調査を支援するため、また、規制および組織の情報保持要件を満たすために、監査レコードを少なくとも 90 日間保持します。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。監査機能がデプロイされた/利用可能なすべての情報システムおよびネットワークコンポーネントに、AU-2 a. で定義された監査可能なイベントのための監査レコードの生成機能を提供します。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (1) | 組織は、コンポーネントのインストール、削除、および情報システムの更新において不可欠な部分である情報システムコンポーネントのインベントリを更新します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-8 (1) | 組織は、コンポーネントのインストール、削除、および情報システムの更新において不可欠な部分である情報システムコンポーネントのインベントリを更新します。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| CM-8 (3)(a) | 組織: a。情報システム内に存在する未承認のハードウェア、ソフトウェア、ファームウェアのコンポーネントを検出するため、検出に最大 5 分の遅延をともなう自動化されたメカニズムを継続的に使用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CP-9 (b) | 組織: b。情報システムに含まれるシステムレベルの情報のバックアップを実行します (毎日の増分、毎週のすべて)。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| IA-2 (1)(2) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| IA-2 (1) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| IA-2 | 情報システムは、組織のユーザー (または組織のユーザーに代わって実行するプロセス) を一意に識別し認証します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-2 | 情報システムは、組織のユーザー (または組織のユーザーに代わって実行するプロセス) を一意に識別し認証します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| IA-5 (1)(a)(d)(e) | パスワードベースの認証のための情報システム: a。[Assignment: organization-defined requirements for case sensitivity, number of characters, mix of upper-case letters, lower-case letters, numbers, and special characters, including minimum requirements for each type (割り当て: 組織で定義された大文字と小文字の区別、文字数、大文字、小文字、数字、特殊文字の組み合わせに関する、各タイプの最小要件を含む要件)] のパスワードの複雑さを最小限に抑えます: d。[Assignment: organization- defined numbers for lifetime minimum, lifetime maximum (割り当て: 組織で定義されたライフタイムの最小および最大の数値)] のパスワードの最小および最大有効期間の制限を適用します: e。24 世代にわたるパスワードの再利用の禁止 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-5 (4) | 組織は、自動化されたツールを使用して、パスワード認証システムに [Assignment: organization-defined requirements (割り当て: 組織で定義された要件)] を満たす十分な強度があるかどうかを判断します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-5 (7) | 組織は、暗号化されていない静的オーセンティケーターが、アプリケーションやアクセススクリプトに埋め込まれたり、ファンクションキーに割り当てられたりしていないことを確認します。 | AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| IR-6 (1) | 組織は、セキュリティインシデントの報告をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| IR-6 (1) | 組織は、セキュリティインシデントの報告をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| IR-6 (1) | 組織は、セキュリティインシデントの報告をサポートするための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| IR-7 (1) | 組織は、インシデント対応に関連する情報およびサポートの可用性を高めるための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| IR-7 (1) | 組織は、インシデント対応に関連する情報およびサポートの可用性を高めるための自動化されたメカニズムを採用します。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| IR-7 (1) | 組織は、インシデント対応に関連する情報およびサポートの可用性を高めるための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| RA-5(1) | 組織は、スキャン対象の情報システムの脆弱性を簡単に更新できる機能を含む脆弱性スキャンツールを採用しています。補足ガイダンス: 新しい脆弱性が発見され、発表され、スキャン方法が開発されたときは、スキャン対象の脆弱性をすぐに更新する必要があります。この更新プロセスにより、情報システムの潜在的な脆弱性が可能な限り迅速に特定され、対処されます。関連コントロール: SI-3、SI-7。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| RA-5(1) | 組織は、スキャン対象の情報システムの脆弱性を簡単に更新できる機能を含む脆弱性スキャンツールを採用しています。補足ガイダンス: 新しい脆弱性が発見され、発表され、スキャン方法が開発されたときは、スキャン対象の脆弱性をすぐに更新する必要があります。この更新プロセスにより、情報システムの潜在的な脆弱性が可能な限り迅速に特定され、対処されます。関連コントロール: SI-3、SI-7。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| RA-5(1) | 組織は、スキャン対象の情報システムの脆弱性を簡単に更新できる機能を含む脆弱性スキャンツールを採用しています。補足ガイダンス: 新しい脆弱性が発見され、発表され、スキャン方法が開発されたときは、スキャン対象の脆弱性をすぐに更新する必要があります。この更新プロセスにより、情報システムの潜在的な脆弱性が可能な限り迅速に特定され、対処されます。関連コントロール: SI-3、SI-7。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| RA-5 | 組織: a。情報システムおよびホストされているアプリケーションの脆弱性を毎月スキャンし [operating system/infrastructure; monthly web applications and databases (オペレーティングシステム/インフラストラクチャ、毎月のウェブアプリケーションおよびデータベース)]、システム/アプリケーションに影響を与える可能性のある新たな脆弱性が特定され、報告された場合にもスキャンします: b。ツール間の相互運用性を促進し、脆弱性管理プロセスの一部を自動化するために、以下の標準を使用した脆弱性スキャンツールおよびテクノロジーを採用します: 1。プラットフォーム、ソフトウェアの欠陥、不適切な構成を列挙します: 2。チェックリストとテスト手順のフォーマット: および 3。脆弱性による影響の測定: c。脆弱性スキャンレポートとセキュリティコントロール評価の結果を分析します: d。正当性のある脆弱性の修正: 組織のリスク評価に基づき、発見日から (30) 日以内に緩和された高リスクの脆弱性、発見日から (90) 日以内に緩和された中程度のリスクの脆弱性、発見日から (180) 日以内に緩和された低リスクの脆弱性: および e。脆弱性スキャンプロセスおよびセキュリティコントロール評価から取得した情報を [Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] と共有し、他の情報システムにおける同様の脆弱性 (システム的な弱点や欠陥) を排除します。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| RA-5 | 組織: a。情報システムおよびホストされているアプリケーションの脆弱性をスキャンし [Assignment: organization-defined frequency and/or randomly in accordance with organization-defined process (割り当て: 組織で定義された頻度および/またはプロセスに従ったランダムな頻度)]、システム/アプリケーションに影響を与える可能性のある新たな脆弱性が特定され、報告された場合にもスキャンします: b。ツール間の相互運用性を促進し、脆弱性管理プロセスの一部を自動化するために、以下の標準を使用した脆弱性スキャンツールおよびテクノロジーを採用します: 1。プラットフォーム、ソフトウェアの欠陥、不適切な構成を列挙します: 2。チェックリストとテスト手順のフォーマット: および 3。脆弱性による影響の測定: c。脆弱性スキャンレポートとセキュリティコントロール評価の結果を分析します: d。リスクの組織的評価に従って、正当な脆弱性を修正します: [Assignment: organization-defined response times (割り当て: 組織で定義された応答時間)]: および e。脆弱性スキャンプロセスおよびセキュリティコントロール評価から取得した情報を [Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] と共有し、他の情報システムにおける同様の脆弱性 (システム的な弱点や欠陥) を排除します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | GitHub または Bitbucket のソースレポジトリの URL に、AWS Codebuild プロジェクト環境内の個人用のアクセストークン、サインイン認証情報が含まれていないことを確認します。GitHub または Bitbucket リポジトリへのアクセス認可を付与するには、個人のアクセストークンまたはサインイン認証情報ではなく、OAuth を使用します。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、サービスの開発および実装と運用の際に設定管理を行う: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) ユーザー、IAM ロール、または IAM グループに、システムやアセットへのアクセスを管理するインラインポリシーがないことを確認します。AWS では、インラインポリシーではなくマネージドポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認して、アクセス許可と認可をコントロールします。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) では、IAM グループに少なくとも 1 つのユーザーが存在するようにして、アクセス許可と認可に最小特権と職務の分離の原則を組み込むことができます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | AWS Systems Manager (SSM) ドキュメントへの意図しないアクセスが許可される可能性があるため、SSM ドキュメントが公開されていないことを確認します。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SC-7(4) | 組織: (a) 外部通信サービスごとにマネージドインターフェイスを実装し、(b) 各マネージドインターフェイスのトラフィックフローポリシーを確立し、(c) 各インターフェイスで送信される情報の機密性と完全性を保護し、(d) トラフィックフローポリシーに対する各例外を、それを支持するミッション/ビジネスニーズおよびそのニーズの期間を含めて文書化し、(e) トラフィックフローポリシー [Assignment: organization-defined frequency (割り当て:組織が定める頻度)] の例外を確認し、明示的なミッション/ビジネスニーズによって支持されなくなった例外を削除します。補足ガイダンス: 関連コントロール: SC-8。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-7(5) | マネージドインターフェイスの情報システムは、デフォルトでネットワーク通信トラフィックを拒否し、例外的にネットワーク通信トラフィックを許可します (つまりすべてを拒否し、例外的に許可)。補足ガイダンス: この制御の強化は、インバウンドネットワーク通信トラフィックとアウトバウンドネットワーク通信トラフィックの両方に適用されます。deny-all (すべて拒否)、permit-by-exception (例外による許可) のネットワーク通信トラフィックポリシーでは、必須かつ承認された接続のみが許可されます。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon OpenSearch Service (OpenSearch Service) のドメインが Amazon Virtual Private Cloud (Amazon VPC) 内にあることを確認して、AWS クラウドへのアクセスを管理します。Amazon VPC 内の OpenSearch Service のドメインによって、インターネットゲートウェイ、NAT デバイスや VPN 接続なしで、OpenSearch Service と他のサービス間に Amazon VPC 内で安全な通信ができるようになります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることにより、AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスの管理ができます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | AWS Lambda 関数を Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイして、関数と Amazon VPC 内の他のサービスとの間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するため、AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Virtual Private Cloud (Amazon VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、AWS クラウドへのアクセスを管理します。この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループでは、AWS リソースへの入力および出力ネットワークトラフィックのステートフルフィルタリングを使用して、ネットワークアクセスを管理できます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、AWS リソースへのリモートアクセスを制限することができます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の機密性と完全性を保護します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | キーのローテーションを有効にして、暗号化期間の最後に到達した後にキーがローテーションされるようにします。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | X509 証明書が AWS ACM によって発行されるようにすることにより、ネットワークの整合性を保護します。これらの証明書は有効で、期限切れではない必要があります。このルールには、daysToExpiration の値が必要です (AWS の基本的なセキュリティのベストプラクティスの値: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、FIPS で検証された、または NSA で承認された暗号化を実装します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の機密性と整合性を保護します。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| SI-2 (2) | 組織は、欠陥の修復に関する情報システムのコンポーネントの状態を判断するため、少なくとも月に一度、自動化されたメカニズムを採用します。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| SI-3 | 組織: a。情報システムの入口と出口に悪意のあるコードに対する保護メカニズムを採用して、悪意のあるコードを検出して根絶します。b。組織の構成管理ポリシーと手順に従って、新しいリリースが公開されるたびに、悪意のあるコードに対する保護メカニズムを更新します。c。悪意あるコードの保護機構を 1 に設定します。組織のセキュリティポリシーに従ってファイルがダウンロード、開く、または実行されるときに、情報システム [Assignment: organization-defined frequency (割り当て: 組織が定める頻度)] を定期的にスキャンし、[Selection(one or more); endpoint; network entry/exit points (選択 (1 つ以上)、エンドポイント、ネットワークの入口/出口ポイント)] で外部ソースからのファイルのリアルタイムスキャンを実行します。2. 悪意のあるコードが検出されると、[Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action] (選択 (1 つ以上): 悪意のあるコードのブロック、悪意のあるコードの隔離、管理者にアラートを送信)、割り当て:組織であるコードのブロが行われます。悪意のあるコードの検出および根絶中に受信する誤検出、およびその結果生じる情報システムの可用性への潜在的な影響に対処します。補足ガイダンス: 情報システムの入口と出口には、ファイアウォール、電子メールサーバー、ウェブサーバー、プロキシサーバー、リモートアクセスサーバー、ワークステーション、ノートパソコン、モバイルデバイスなどが含まれます。悪意のあるコードには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。悪意のあるコードは、さまざまな形式 (例: UUENCODE、Unicode) でエンコードされたり、圧縮されたファイルや隠しファイルに格納されたり、またはステガノグラフィを使用してファイルに隠されたりすることもあります。悪意のあるコードは、ウェブアクセス、電子メール、電子メールの添付ファイル、ポータブルストレージデバイスなど、さまざまな方法で転送される可能性があります。悪意のあるコードの挿入は、情報システムの脆弱性を悪用することによって行われます。悪意のあるコードに対する保護メカニズムには、たとえば、ウイルス対策シグネチャの定義やレピュテーションベースの技術が含まれます。悪意のあるコードの影響を制限または排除するためのさまざまな技術や方法が存在します。広範囲にわたる構成管理と包括的なソフトウェアの整合性の制御は、不正なコードの実行を防止するのに効果的な場合があります。市販のソフトウェアに加えて、カスタムビルドのソフトウェアにも悪意のあるコードが含まれている可能性があります。これには、ロジックボム、バックドア、および組織のミッション/ビジネス機能に影響を与える可能性のあるその他のタイプのサイバー攻撃などが含まれます。従来の悪意のあるコードに対する保護メカニズムでは、このようなコードを常に検出できるとは限りません。このような状況では、組織は代わりに、ソフトウェアが意図した機能以外を実行しないようにするために、安全なコーディング手法、構成の管理と制御、信頼できる調達プロセス、監視方法などの他の保護手段を使用しています。組織は、悪意のあるコードの検出に対応するため、さまざまなアクションが必要であると判断する場合があります。例えば、組織は、定期的なスキャン中の悪意のあるコードの検出に対応するアクション、悪意のあるダウンロードの検出に対応するアクション、および/またはファイルを開いたり実行しようとしたときの悪意のある検出に対応するアクションを定義できます。関連コントロール: CM-3、MP-2、SA-4、SA-8、SA-12、SA-13、SC-7、SC-26、SC-44、SI-2、SI-4、SI-7。参考文献: NIST 特別刊行物 800-83。 | AWS Codebuild プロジェクト環境内に、認証情報である AWS_ACCESS_KEY_ID および AWS_SECRET_ACCESS_KEY が存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| SI-3 | 組織: a。情報システムの入口と出口に悪意のあるコードに対する保護メカニズムを採用して、悪意のあるコードを検出して根絶します。b。組織の構成管理ポリシーと手順に従って、新しいリリースが公開されるたびに、悪意のあるコードに対する保護メカニズムを更新します。c。悪意あるコードの保護機構を 1 に設定します。組織のセキュリティポリシーに従ってファイルがダウンロード、開く、または実行されるときに、情報システム [Assignment: organization-defined frequency (割り当て: 組織が定める頻度)] を定期的にスキャンし、[Selection(one or more); endpoint; network entry/exit points (選択 (1 つ以上)、エンドポイント、ネットワークの入口/出口ポイント)] で外部ソースからのファイルのリアルタイムスキャンを実行します。2. 悪意のあるコードが検出されると、[Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action] (選択 (1 つ以上): 悪意のあるコードのブロック、悪意のあるコードの隔離、管理者にアラートを送信)、割り当て:組織であるコードのブロが行われます。悪意のあるコードの検出および根絶中に受信する誤検出、およびその結果生じる情報システムの可用性への潜在的な影響に対処します。補足ガイダンス: 情報システムの入口と出口には、ファイアウォール、電子メールサーバー、ウェブサーバー、プロキシサーバー、リモートアクセスサーバー、ワークステーション、ノートパソコン、モバイルデバイスなどが含まれます。悪意のあるコードには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。悪意のあるコードは、さまざまな形式 (例: UUENCODE、Unicode) でエンコードされたり、圧縮されたファイルや隠しファイルに格納されたり、またはステガノグラフィを使用してファイルに隠されたりすることもあります。悪意のあるコードは、ウェブアクセス、電子メール、電子メールの添付ファイル、ポータブルストレージデバイスなど、さまざまな方法で転送される可能性があります。悪意のあるコードの挿入は、情報システムの脆弱性を悪用することによって行われます。悪意のあるコードに対する保護メカニズムには、たとえば、ウイルス対策シグネチャの定義やレピュテーションベースの技術が含まれます。悪意のあるコードの影響を制限または排除するためのさまざまな技術や方法が存在します。広範囲にわたる構成管理と包括的なソフトウェアの整合性の制御は、不正なコードの実行を防止するのに効果的な場合があります。市販のソフトウェアに加えて、カスタムビルドのソフトウェアにも悪意のあるコードが含まれている可能性があります。これには、ロジックボム、バックドア、および組織のミッション/ビジネス機能に影響を与える可能性のあるその他のタイプのサイバー攻撃などが含まれます。従来の悪意のあるコードに対する保護メカニズムでは、このようなコードを常に検出できるとは限りません。このような状況では、組織は代わりに、ソフトウェアが意図した機能以外を実行しないようにするために、安全なコーディング手法、構成の管理と制御、信頼できる調達プロセス、監視方法などの他の保護手段を使用しています。組織は、悪意のあるコードの検出に対応するため、さまざまなアクションが必要であると判断する場合があります。例えば、組織は、定期的なスキャン中の悪意のあるコードの検出に対応するアクション、悪意のあるダウンロードの検出に対応するアクション、および/またはファイルを開いたり実行しようとしたときの悪意のある検出に対応するアクションを定義できます。関連コントロール: CM-3、MP-2、SA-4、SA-8、SA-12、SA-13、SC-7、SC-26、SC-44、SI-2、SI-4、SI-7。参考文献: NIST 特別刊行物 800-83。 | GitHub または Bitbucket のソースレポジトリの URL に、AWS Codebuild プロジェクト環境内の個人用のアクセストークン、サインイン認証情報が含まれていないことを確認します。GitHub または Bitbucket リポジトリへのアクセス認可を付与するには、個人のアクセストークンまたはサインイン認証情報ではなく、OAuth を使用します。 | |
| SI-3 | 組織: a。情報システムの入口と出口に悪意のあるコードに対する保護メカニズムを採用して、悪意のあるコードを検出して根絶します。b。組織の構成管理ポリシーと手順に従って、新しいリリースが公開されるたびに、悪意のあるコードに対する保護メカニズムを更新します。c。悪意あるコードの保護機構を 1 に設定します。組織のセキュリティポリシーに従ってファイルがダウンロード、開く、または実行されるときに、情報システム [Assignment: organization-defined frequency (割り当て: 組織が定める頻度)] を定期的にスキャンし、[Selection(one or more); endpoint; network entry/exit points (選択 (1 つ以上)、エンドポイント、ネットワークの入口/出口ポイント)] で外部ソースからのファイルのリアルタイムスキャンを実行します。2. 悪意のあるコードが検出されると、[Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action] (選択 (1 つ以上): 悪意のあるコードのブロック、悪意のあるコードの隔離、管理者にアラートを送信)、割り当て:組織であるコードのブロが行われます。悪意のあるコードの検出および根絶中に受信する誤検出、およびその結果生じる情報システムの可用性への潜在的な影響に対処します。補足ガイダンス: 情報システムの入口と出口には、ファイアウォール、電子メールサーバー、ウェブサーバー、プロキシサーバー、リモートアクセスサーバー、ワークステーション、ノートパソコン、モバイルデバイスなどが含まれます。悪意のあるコードには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。悪意のあるコードは、さまざまな形式 (例: UUENCODE、Unicode) でエンコードされたり、圧縮されたファイルや隠しファイルに格納されたり、またはステガノグラフィを使用してファイルに隠されたりすることもあります。悪意のあるコードは、ウェブアクセス、電子メール、電子メールの添付ファイル、ポータブルストレージデバイスなど、さまざまな方法で転送される可能性があります。悪意のあるコードの挿入は、情報システムの脆弱性を悪用することによって行われます。悪意のあるコードに対する保護メカニズムには、たとえば、ウイルス対策シグネチャの定義やレピュテーションベースの技術が含まれます。悪意のあるコードの影響を制限または排除するためのさまざまな技術や方法が存在します。広範囲にわたる構成管理と包括的なソフトウェアの整合性の制御は、不正なコードの実行を防止するのに効果的な場合があります。市販のソフトウェアに加えて、カスタムビルドのソフトウェアにも悪意のあるコードが含まれている可能性があります。これには、ロジックボム、バックドア、および組織のミッション/ビジネス機能に影響を与える可能性のあるその他のタイプのサイバー攻撃などが含まれます。従来の悪意のあるコードに対する保護メカニズムでは、このようなコードを常に検出できるとは限りません。このような状況では、組織は代わりに、ソフトウェアが意図した機能以外を実行しないようにするために、安全なコーディング手法、構成の管理と制御、信頼できる調達プロセス、監視方法などの他の保護手段を使用しています。組織は、悪意のあるコードの検出に対応するため、さまざまなアクションが必要であると判断する場合があります。例えば、組織は、定期的なスキャン中の悪意のあるコードの検出に対応するアクション、悪意のあるダウンロードの検出に対応するアクション、および/またはファイルを開いたり実行しようとしたときの悪意のある検出に対応するアクションを定義できます。関連コントロール: CM-3、MP-2、SA-4、SA-8、SA-12、SA-13、SC-7、SC-26、SC-44、SI-2、SI-4、SI-7。参考文献: NIST 特別刊行物 800-83。 | Amazon Elastic Container Service (Amazon ECS) コンテナで使用できる最大メモリを制限することで、コンテナへの悪意のあるアクセスが発生しても、リソースの使用量が悪用されることはありません。 | |
| SI-4 (1) | 組織は、個々の侵入検知ツールを情報システム全体の侵入検知システムに接続し、設定します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (4) | 情報システムは、受信および送信の通信トラフィックを継続的にモニタリングし、異常な、または不正なアクティビティや状態がないことを確認します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| SI-5 | 組織: a。情報システムのセキュリティ警告、勧告、指令を [Assignment: organization-defined external organizations] (割り当て:組織で定義された外部組織) から継続的に受信します。b。必要と判断される内部セキュリティ警告、勧告、指令を作成します。c。セキュリティ警告、勧告、指令を (1 つまたは複数) [Selection(one or more): [Assignment: organization-defined personnel or roles] (選択 (1 つ以上): 割り当て: 組織で定義された担当者またはロール)、[Assignment: organization-defined elements within the organization] (割り当て: 組織で定義した組織内のエレメント)、[Assignment: organization-defined external organizations] (割り当て: 組織で定義された外部組織) に周知します。d。定められた時間枠に従ってセキュリティ指令を実施するか、違反の程度を発行機関に通知します。補足ガイダンス: 米国コンピュータ緊急対応チーム (US-CERT) は、連邦政府全体の状況認識を維持するために、セキュリティ警告と勧告を生成します。セキュリティ指令は、その指令を発行する責任と権限を持つ OMB またはその他の指定機関によって発行されます。これらの指令の多くには重大な性質があり、指令が適時に実施されなければ、組織の運営や資産、個人、その他の組織、および国家に直ちに悪影響を及ぼす可能性があるため、セキュリティ指令の遵守は不可欠です。外部組織には、例えば、外部のミッション/ビジネスパートナー、サプライチェーンパートナー、外部サービスプロバイダー、その他のピア/サポート組織が含まれます。関連コントロール: SI-2 参考文献: NIST 特別刊行物 800-40。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SI-7 (1) | 情報システムは、少なくとも月に 1 回、セキュリティ関連の整合性をチェックするイベントを実行します。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| SI-7 (1) | 情報システムは、少なくとも月に 1 回、セキュリティ関連の整合性をチェックするイベントを実行します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-7 (1) | 情報システムは、少なくとも月に 1 回、セキュリティ関連の整合性をチェックするイベントを実行します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| SI-7 | 組織は、[Assignment: organization-defined software, firmware, and information (割り当て: 組織で定義されたソフトウェア、ファームウェア、情報)] に対する不正な変更を検出するための整合性検証ツールを採用します。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。これにより、ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されます。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SI-11 | 情報システム: a。攻撃者が悪用する可能性のある情報を公開することなく、是正措置に必要な情報を提供するエラーメッセージを生成します。b。[Assignment: organization-defined roles ](割り当て: 組織で定義された担当者またはロール) にのみエラーメッセージを表示します。補足ガイダンス: 組織はエラーメッセージの構造/内容を慎重に検討します。情報システムがエラー状態をどの程度特定して処理できるかは、組織の方針と運用上の要件によって決まります。攻撃者が悪用する可能性のある情報には、例えば、誤ってユーザー名としてパスワードを入力してログオンを試みた場合、記録された情報から導き出される可能性のあるミッション/ビジネス情報 (明示的に記載されていない場合)、アカウント番号、ソーシャルセキュリティ番号、およびクレジットカード番号などの個人情報が含まれます。さらに、エラーメッセージは情報を送信するための秘密のチャネルを提供する可能性があります。関連コントロール:AU-2、AU-3、SC-31。制御: なし。参考: なし。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| SI-16 | 情報システムは、不正なコードの実行からメモリを保護するために [Assignment: organization-defined security safeguards] (割り当て:組織が定めるセキュリティ対策) を実装しています。補足ガイダンス: 一部の攻撃者は、実行不可能なメモリ領域または禁止されているメモリ位置でコードを実行することを目的として攻撃を仕掛けます。メモリを保護するために採用されているセキュリティ保護手段には、データ実行防止やアドレス空間配置のランダム化などがあります。データ実行防止の保護手段は、ハードウェアで強制することも、メカニズムの強度を高めるハードウェアを使用してソフトウェアで強制することもできます。関連コントロール:AC-25、SC-3。制御: なし。参考: なし。 | Amazon Elastic Container Service (Amazon ECS) コンテナで使用できる最大メモリを制限することで、コンテナへの悪意のあるアクセスが発生しても、リソースの使用量が悪用されることはありません。 |
テンプレート
テンプレートは、GitHub の「Operational Best Practices for FedRAMP(Moderate)
