翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IRS 1075 に関する運用上のベストプラクティス
コンフォーマンスパックは、マネージドルールやカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、コスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、IRS 1075 と、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の IRS 1075 によるコントロールに関連付けられます。IRS 1075 によるコントロールを、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| 3.3.1 クラウドコンピューティング d。転送時のデータ暗号化 | FTI はクラウド環境内で転送中に暗号化する必要があります。FTI の暗号化に使用されるすべてのメカニズムは FIPS 140 認定を受けており、最新の FIPS 140 準拠モジュールを利用して動作する必要があります。この要件は SLA に含める必要があります。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング d。転送時のデータ暗号化 | FTI はクラウド環境内で転送中に暗号化する必要があります。FTI の暗号化に使用されるすべてのメカニズムは FIPS 140 認定を受けており、最新の FIPS 140 準拠モジュールを利用して動作する必要があります。この要件は SLA に含める必要があります。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング d。転送時のデータ暗号化 | FTI はクラウド環境内で転送中に暗号化する必要があります。FTI の暗号化に使用されるすべてのメカニズムは FIPS 140 認定を受けており、最新の FIPS 140 準拠モジュールを利用して動作する必要があります。この要件は SLA に含める必要があります。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング d。転送時のデータ暗号化 | FTI はクラウド環境内で転送中に暗号化する必要があります。FTI の暗号化に使用されるすべてのメカニズムは FIPS 140 認定を受けており、最新の FIPS 140 準拠モジュールを利用して動作する必要があります。この要件は SLA に含める必要があります。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| 3.3.1 クラウドコンピューティング d。転送時のデータ暗号化 | FTI はクラウド環境内で転送中に暗号化する必要があります。FTI の暗号化に使用されるすべてのメカニズムは FIPS 140 認定を受けており、最新の FIPS 140 準拠モジュールを利用して動作する必要があります。この要件は SLA に含める必要があります。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング d。転送時のデータ暗号化 | FTI はクラウド環境内で転送中に暗号化する必要があります。FTI の暗号化に使用されるすべてのメカニズムは FIPS 140 認定を受けており、最新の FIPS 140 準拠モジュールを利用して動作する必要があります。この要件は SLA に含める必要があります。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング d。転送時のデータ暗号化 | FTI はクラウド環境内で転送中に暗号化する必要があります。FTI の暗号化に使用されるすべてのメカニズムは FIPS 140 認定を受けており、最新の FIPS 140 準拠モジュールを利用して動作する必要があります。この要件は SLA に含める必要があります。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング e。保管時のデータ暗号化 | 保存時のデータ暗号化である FTI は、クラウドに保存されている間も、最新の FIPS 140 認定を受けた暗号化メカニズムを使用して暗号化する必要があります。この要件は SLA に含める必要があります。 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.3.1 クラウドコンピューティング k。多要素認証 | 政府機関は、自社のクラウドソリューションがインターネットから利用できる場合 (つまり、政府機関の信頼できるネットワークの外部からクラウドソリューションにアクセスできる場合)、十分な多要素認証を実装する必要があります。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| 3.3.1 クラウドコンピューティング k。多要素認証 | 政府機関は、自社のクラウドソリューションがインターネットから利用できる場合 (つまり、政府機関の信頼できるネットワークの外部からクラウドソリューションにアクセスできる場合)、十分な多要素認証を実装する必要があります。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| 3.3.1 クラウドコンピューティング k。多要素認証 | 政府機関は、自社のクラウドソリューションがインターネットから利用できる場合 (つまり、政府機関の信頼できるネットワークの外部からクラウドソリューションにアクセスできる場合)、十分な多要素認証を実装する必要があります。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| 3.3.1 クラウドコンピューティング k。多要素認証 | 政府機関は、自社のクラウドソリューションがインターネットから利用できる場合 (つまり、政府機関の信頼できるネットワークの外部からクラウドソリューションにアクセスできる場合)、十分な多要素認証を実装する必要があります。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| 3.3.1 クラウドコンピューティング i。IT リスク評価 | 政府機関は、FTI の受信、処理、保存、アクセス、保護、および/または送信に使用されるすべての情報システムに対して実施されているセキュリティおよびプライバシー管理について、毎年評価を実施する必要があります。 | annual-risk-assessment-performed(Process Check) | 年に 1 回、組織のリスク評価を実施します。リスク評価は、組織に影響を及ぼす可能性のある特定のリスクや脆弱性の影響を判断するのに役立ちます。 |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | AWS Network Firewall ポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | AWS WAF に空でないルールがあることを確認します。条件のないルールは、意図しない動作を引き起こす可能性があります。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | AWS WAF に空でないルールグループがあることを確認します。空のルールグループは、意図しない動作を引き起こす可能性があります。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | AWS WAF にアタッチされたウェブ ACL には、ウェブリクエストを検査および制御する、ルールおよびルールグループのコレクションを含めることができます。ウェブ ACL が空の場合、ウェブトラフィックは、WAF による検出または処理なしに通過します。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| 3.3.6 ネットワーク境界とインフラストラクチャ | 政府機関は、FTI および FTI システムを保護するために、ルーター、ファイアウォール、スイッチ、侵入検知システムなど、システムアーキテクチャ全体に境界保護デバイスを導入する必要があります。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| AC-2 アカウントの管理 (f) | 機関のアカウント管理手順の前提条件にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 アカウントの管理 (f) | 機関のアカウント管理手順の前提条件にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。 | AWS Organizations 内の AWS アカウント を一元管理することで、アカウントが準拠されるようになります。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| AC-2 アカウントの管理 (f) | 機関のアカウント管理手順の前提条件にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-2 アカウントの管理 (f) | 機関のアカウント管理手順の前提条件にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-2 アカウントの管理 (f) | 機関のアカウント管理手順の前提条件にしたがって、アカウントを作成、有効化、変更、無効化、および削除します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AC-2 アカウントの管理 (g) | アカウントの使用状況をモニタリングします | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | このルールにより、AWS Secrets Manager シークレットで定期的なローテーションが有効にされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。デフォルト値は 90 日です。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | AWS Secrets Manager に未使用の認証情報が存在する場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、unusedForDays (Config デフォルト: 90) の値を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | 組織のポリシーが指定した通り IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーが割り当てられていないことを確認することにより、システムとアセットへのアクセスをコントロールできます。root アクセスキーが削除されていることを確認します。代わりにロールベースの AWS アカウント を作成して使用し、最小限の機能の原則を組み込みます。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-2 アカウントの管理 (j) | アカウント管理要件への準拠について、アカウントを確認します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| (CE-1) 自動システムアカウント管理 | [Assignment: organization-defined automated mechanisms] (割り当て: 組織で定義された自動化されたメカニズム) を使用して、システムアカウントの管理をサポートします。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| (CE-1) 自動システムアカウント管理 | [Assignment: organization-defined automated mechanisms] (割り当て: 組織で定義された自動化されたメカニズム) を使用して、システムアカウントの管理をサポートします。 | 組織のポリシーが指定した通り IAM アクセスキーがローテーションされるようにすることで、認可されたデバイス、ユーザー、プロセスについての認証情報が監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| (CE-1) 自動システムアカウント管理 | [Assignment: organization-defined automated mechanisms] (割り当て: 組織で定義された自動化されたメカニズム) を使用して、システムアカウントの管理をサポートします。 | このルールにより、AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされるようになります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| (CE-3): アカウントの無効化 | アカウントが以下の場合は 120 日以内にアカウントを無効にします。a。期限が切れている、b。ユーザーまたは個人に関連付けられなくなった、c。組織の方針に違反している、または d。非特権アカウントでは 120 日間、特権アカウントでは 60 日間非アクティブになっている | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| (CE-12) 非定型使用のアカウントモニタリング | システムアカウントの異常な使用をモニタリングし、システムアカウントの異常な使用について機関で定義された担当者またはロールに報告します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、アクセス許可や認可に最小特権と職務分離の原則を組み込むことにより、すべての AWS Key Management Service のキーでブロックされたアクションを含むポリシーを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールにより、blockedActionsPatterns パラメータの設定が可能になります。(AWS の基本的なセキュリティのベストプラクティスの値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) によって、ポリシーで「Resource」:「*」に対して「Action」:「*」が「Effect」:「Allow」にならないよう制限し、アクセス許可や認可に最小特権と職務分離の原則を組み込むことができます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) では、指定した期間に使用されていない IAM パスワードとアクセスキーをチェックすることにより、アクセスの許可と認証を行うことができます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、maxCredentialUsageAge (Config デフォルト: 90) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon OpenSearch Service ドメインで、きめ細かいアクセスコントロールが有効になっていることを確認します。きめ細かいアクセスコントロールによって、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現するための強化された認可メカニズムが得られます。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、およびフィールドレベルのセキュリティ、OpenSearch Service ダッシュボードのマルチテナンシーのサポート、OpenSearch Service と Kibana の HTTP 基本認証が可能になります。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Secrets Manager に未使用の認証情報が存在する場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、unusedForDays (Config デフォルト: 90) の値を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | 最小特権の原則の実装を支援するために、Amazon CodeBuild プロジェクト環境で特権モードが有効になっていないことを確認してください。Docker API およびコンテナの基盤となるハードウェアへの意図しないアクセスを防ぐため、この設定を無効にする必要があります。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | 最小特権の原則の実装を支援するため、Amazon Elastic Container Service (Amazon ECS) タスク定義では拡張された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Elastic Container Service (Amazon ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルを遵守するのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | 最小特権の原則の実装を支援するため、ルートユーザー以外のあるユーザーに Amazon Elastic Container Service (Amazon ECS) タスク定義へのアクセスが指定されていることを確認します。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | 最小特権の原則の実装を支援するため、Amazon Elastic File System (Amazon EFS) でユーザー適用が有効になっていることを確認します。有効になっていると、Amazon EFS では、NFS クライアントのユーザー ID およびグループ ID が、アクセスポイントですべてのファイルシステムオペレーションに対して設定されている ID に置き換えられ、この適用されたユーザー ID へのアクセスのみが許可されます。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| AC-6 最小特権 | 最小特権の原則を採用し、組織に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | このルールにより、AWS Identity and Access Management (IAM) ポリシーがグループまたはロールのみにアタッチされ、システムとアセットへのアクセスがコントロールされるようになります。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17: リモートアクセス | 許可されているリモートアクセスの種類ごとに、使用制限、構成/接続要件、および実装ガイダンスを確立して文書化し、システムへの各タイプのリモートアクセスを許可してからそれらの接続を許可します。 | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| AT-1: 意識向上と訓練 | システムユーザー (管理者、上級幹部、請負業者を含む) にセキュリティおよびプライバシーリテラシートレーニングを実施します。 | security-awareness-program-exists(Process Check) | 組織のセキュリティ意識向上プログラムを確立して維持します。セキュリティ意識向上プログラムは、さまざまなセキュリティ侵害やインシデントから組織を保護する方法を従業員に教育するものです。 |
| AU-2: 監査イベント | 監査機能をサポートするために、システムがログに記録できるイベントのタイプを特定します | audit-log-policy-exists(Process Check) | 組織のログ要件を定義する、監査ログの管理ポリシーを確立して維持します。これには監査ログのレビューと保持が含まれますが、これらに限定されるわけではありません。 |
| AU-16: 組織間の監査ロギング | 監査情報が組織の境界を越えて伝達される場合、外部組織間で機関が定義した監査情報を調整する機関が定義した方法を採用します。 | audit-log-policy-exists(Process Check) | 組織のログ要件を定義する、監査ログの管理ポリシーを確立して維持します。これには監査ログのレビューと保持が含まれますが、これらに限定されるわけではありません。 |
| CA-7: 継続的なモニタリング | システムレベルの継続的モニタリング戦略の策定、および組織レベルの継続的モニタリング戦略に従った継続的モニタリングの実施。機関が定義したモニタリングする指標の確立。継続的モニタリング戦略に従った継続的なコントロールの評価。継続的モニタリング戦略に従ったシステムおよび組織が定める指標のモニタリング。コントロール評価とモニタリングによって生成された情報の相関と分析。こコントロール評価とモニタリング情報の分析結果に対処するための対応措置。システムのセキュリティおよびプライバシーの状況について少なくとも 1 年に 1 度の頻度で報告。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| CP-9: システムバックアップ | a。セキュリティ関連文書など、システム文書に含まれるユーザーレベルの情報のバックアップを毎週実施します。b。システムに含まれるシステムレベルの情報のバックアップを毎週実施します。c。セキュリティおよびプライバシー関連文書を含むシステム文書のバックアップを毎週実施します。d。バックアップ情報の機密性、完全性、可用性を保護します。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| IA-2: 身分証明書と認証 (組織のユーザー) (CE-1) 特権アカウントへの多要素認証 | 特権アカウントへのアクセスに多要素認証を導入します | ルートユーザーに対して MFA を有効にすることにより、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| IA-2: 身分証明書と認証 (組織のユーザー) (CE-1) 特権アカウントへの多要素認証 | 特権アカウントへのアクセスに多要素認証を導入します | ルートユーザーに対してハードウェア MFA を有効にすることで、AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウント のユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することにより、AWS アカウント が侵害されるインシデントを減らすことができます。 | |
| IA-2: 身分証明書と認証 (組織のユーザー) (CE-2) 非特権アカウントへの多要素認証 | 非特権アカウントへのアクセスに多要素認証を導入します。 | コンソールのパスワードを所有するすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっているかを確認することにより、AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| IA-5: Authenticator の管理: (CE-1) パスワードベースの認証:パスワードベースの認証用 | 以下の構成と複雑さのルールを適用します。1. パスワードの最小長を 14 文字にします。2. 数字、大文字、小文字、特殊文字を組み合わせたパスワードの複雑さを最小限として加えます。3. 新しいパスワードを使用するときは、少なくとも 1 文字の変更を強制します。4. 暗号で保護されたパスワードのみを保存および転送します。5. パスワードの有効期限の制限を強制します。i。最短 1 日、最長 90 日。ii。サービスアカウントのパスワードは、366 日以内 (含む) に失効します。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらの ID と認証情報は、NIST SP 800-63 および AWS の基本的なセキュリティのベストプラクティス標準で規定されているパスワード強度の要件を満たしています。このルールでは、必要に応じて RequireUppercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireLowercaseCharacters (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireSymbols (AWS の基本的なセキュリティのベストプラクティスの値: true)、RequireNumbers (AWS の基本的なセキュリティのベストプラクティスの値: true)、MinimumPasswordLength (AWS の基本的なセキュリティのベストプラクティスの値: 14)、PasswordReusePrevention (AWS の基本的なセキュリティのベストプラクティスの値: 24)、および MaxPasswordAge (AWS の基本的なセキュリティのベストプラクティスの値: 90) を、IAM パスワードポリシーに設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PM-5: システムインベントリ | 組織システムのインベントリを継続的に開発および更新します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| PM-5: システムインベントリ | 組織システムのインベントリを継続的に開発および更新します。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| PM-5: システムインベントリ | 組織システムのインベントリを継続的に開発および更新します。 | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) のネットワークアクセスコントロールリストが使用されているかどうかを確認します。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。 | |
| PM-5: システムインベントリ | 組織システムのインベントリを継続的に開発および更新します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| RA-5: 脆弱性のモニタリングとスキャン | システムおよびホストされているアプリケーションの脆弱性について、30 日毎、機関のネットワークに新しい情報システムを導入する前、およびシステムに影響を与える可能性のある新たな脆弱性が特定され、報告された場合にモニタリングとスキャンを行います。 | vuln-scans-performed(Process Check) | コンプライアンス要件に従って脆弱性スキャンが実行されていることを確認します。スキャンの周期、使用するツール、結果の使用方法については、組織が定義する必要があります。 |
| SA-10: 開発者設定管理 (e.) | システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SA-10: 開発者設定管理 (e.) | システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty では、調査結果が重要度 (低、中、高) で分類されるため、インシデントによる影響を把握することができます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、組織のポリシーで要求される場合に、アーカイブされていない結果に対して daysLowSev (Config デフォルト: 30)、daysMediumSev (Config デフォルト: 7)、daysHighSev (Config デフォルト: 1) を必要に応じて設定できます。 | |
| SA-10: 開発者設定管理 (e.) | システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SA-10: 開発者設定管理 (a) (c.) | システム、コンポーネント、サービスの設計、開発、実装、運用の際に設定管理を実行します。システム、コンポーネント、サービスには組織が承認した変更のみを実装します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SC-4: 共有システムリソース内の情報 | 共有システムリソースからの、未許可の意図しない情報転送を防止します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されないようにして、AWS クラウドのリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | Amazon Redshift クラスターが公開されないようにすることで、AWS クラウドのリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | EBS スナップショットがパブリックで復元されないようにすることにより、AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにして、AWS クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | AWS Lambda 関数へのパブリックアクセスができないようにして、AWS クラウドのリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、AWS クラウドのリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、ignorePublicAcls (Config デフォルト: True)、blockPublicPolicy (Config デフォルト: True)、blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets (Config デフォルト: True) の各パラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | s3_ bucket_policy_grantee_check を有効にして、AWS クラウドへのアクセスを管理します。このルールにより、Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、Amazon Virtual Private Cloud (Amazon VPC) ID によって制限されているかどうかチェックされます。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | 権限のあるユーザー、プロセス、デバイスに Amazon Simple Storage Service (Amazon S3) バケットへのアクセスのみを許可することにより、AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | Amazon SageMaker ノートブックがインターネットからの直接アクセスを許可しないことにより、AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-7: 境界の保護 | システムの外部境界およびシステム内の主要な内部境界で通信をモニタリングおよびコントロールします。内部の組織ネットワークから分離されたパブリックアクセス可能なシステムコンポーネント用のサブネットワークを実装します。外部ネットワークや情報システムを、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成されるマネージドインターフェイスのみを通じて接続します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの共通ポートに制限をかけることにより、AWS クラウド上のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-7: 境界保護 (CE-9) 脅威となる送信通信トラフィックの制限 | (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。拒否された通信に関連する内部ユーザーの ID を監査します。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| SC-7: 境界保護 (CE-9) 脅威となる送信通信トラフィックの制限 | (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。拒否された通信に関連する内部ユーザーの ID を監査します。 | ウェブアプリケーションを保護するため、Elastic Load Balancing (ELB) で AWS WAF が有効になっていることを確認します。WAF は、一般的なウェブの脆弱性からウェブアプリケーションや API を保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SC-7: 境界保護 (CE-9) 脅威となる送信通信トラフィックの制限 | (a) 外部システムへの脅威となる送信通信トラフィックを検出して拒否します。拒否された通信に関連する内部ユーザーの ID を監査します。 | AWS WAF では、お客様が定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリストまたはウェブ ACL と呼ばれる) を設定することができます。Amazon API Gateway のステージが WAF のウェブ ACL に関連付けられ、悪意のある攻撃から保護されていることを確認します。 | |
| SC-7: 境界保護 (IRS 定義) | 政府機関は、信頼境界で境界保護 (通常はファイアウォールを使用) を実施および管理する必要があります。各信頼境界をモニタリングし、各境界を越える通信を制御する必要があります。 | AWS Network Firewall ポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。 | |
| SC-7: 境界保護 (IRS 定義) | 政府機関は、信頼境界で境界保護 (通常はファイアウォールを使用) を実施および管理する必要があります。各信頼境界をモニタリングし、各境界を越える通信を制御する必要があります。 | AWS Network Firewall ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。 | |
| SC-8: 伝送の機密性と完全性 (CE-1) 暗号化保護 | 送信時に情報の不正な開示を防止し、情報の変更を検出するに暗号化メカニズムを実装します。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8: 伝送の機密性と完全性 (CE-1) 暗号化保護 | 送信時に情報の不正な開示を防止し、情報の変更を検出するに暗号化メカニズムを実装します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8: 伝送の機密性と完全性 (CE-1) 暗号化保護 | 送信時に情報の不正な開示を防止し、情報の変更を検出するに暗号化メカニズムを実装します。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8: 伝送の機密性と完全性 (CE-1) 暗号化保護 | 送信時に情報の不正な開示を防止し、情報の変更を検出するに暗号化メカニズムを実装します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| SC-8: 伝送の機密性と完全性 (CE-1) 暗号化保護 | 送信時に情報の不正な開示を防止し、情報の変更を検出するに暗号化メカニズムを実装します。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8: 伝送の機密性と完全性 (CE-1) 暗号化保護 | 送信時に情報の不正な開示を防止し、情報の変更を検出するに暗号化メカニズムを実装します。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8: 伝送の機密性と完全性 (CE-1) 暗号化保護 | 送信時に情報の不正な開示を防止し、情報の変更を検出するに暗号化メカニズムを実装します。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-12: 暗号化キーの確立と管理 | 機関は、キーの生成、配布、保存、アクセス、破棄について、キーの管理要件である NIST SP 800-57 (キー管理の推奨事項) に従ってシステムに暗号化を使用する場合、暗号化キーを作成し、管理する必要があります。 | 保管中のデータを保護するため、AWS Key Management Service (AWS KMS) で、必要なカスタマーマスターキー (CMK) の削除がスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-12: 暗号化キーの確立と管理 | 機関は、キーの生成、配布、保存、アクセス、破棄について、キーの管理要件である NIST SP 800-57 (キー管理の推奨事項) に従ってシステムに暗号化を使用する場合、暗号化キーを作成し、管理する必要があります。 | キーのローテーションを有効にして、暗号化期間の最後に到達した後にキーがローテーションされるようにします。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。AWS Certificate Manager を使用して、AWS のサービスと内部リソースによってパブリックおよびプライベートの SSL/TLS 証明書を管理、プロビジョニング、およびデプロイします。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | Amazon OpenSearch Service のノード間の暗号化を有効にします。ノード間の暗号化により、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信で TLS 1.2 暗号化が有効になります。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13: 暗号化による保護 | 最新の FIPS-140 で検証された暗号化メカニズム、NIST 800-52、Transport Layer Security (TLS) 実装の選択、設定、および使用のためのガイドライン、転送中の暗号化 (ペイロード暗号化)の中から、指定された各暗号化の用途に必要なタイプの暗号化を実装します。デジタル署名に SHA-1 を使用することは禁止されています。 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-23: セッションの認証性 | 通信のセッションの信頼性を確保します。 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 機密データが含まれている可能性があるため、AWS CloudTrail の証跡で暗号化を有効にして、保管中のデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中の機密データを保護するため、Amazon CloudWatch ロググループで暗号化が有効になっていることを確認します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用する暗号化が必要かどうかを確認します。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Kinesis Streams で暗号化が有効になっていることを確認します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト:TRUE) の値が設定されている必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker エンドポイントには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。SageMaker ノートブックには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28: 保存中の情報に対する保護 (CE-1) 暗号化による保護 | 暗号化メカニズムを導入して、不揮発性ストレージ内のエンドユーザーコンピューティングシステム (デスクトップコンピューター、ラップトップコンピューター、モバイルデバイス、ポータブルおよびリムーバブルストレージデバイスなど) に保存されている FTI の不正な開示と変更を防止します。 | 保管中のデータを保護するため、AWS Secrets Manager のシークレットに対して AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SI-2: 不具合の修復 (IRS 定義) | 政府機関は、毎日ワークステーションの電源を入れて機関のネットワークに接続したときに、(ポリシーで定義されているとおり、GFE ワークステーションを使用するリモート接続を含めて) 機関が承認した最新のパッチが適用されていること、および存在しないパッチまたは新しいパッチが必要に応じて適用されていることについて、ワークステーションがチェックされていることを確認します。また、それ以外の場合は 24 時間に 1 回以上 (土日祝日などを除く) チェックされていることを確認します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-2: 不具合の修復 (IRS 定義) | 政府機関は、毎日ワークステーションの電源を入れて機関のネットワークに接続したときに、(ポリシーで定義されているとおり、GFE ワークステーションを使用するリモート接続を含めて) 機関が承認した最新のパッチが適用されていること、および存在しないパッチまたは新しいパッチが必要に応じて適用されていることについて、ワークステーションがチェックされていることを確認します。また、それ以外の場合は 24 時間に 1 回以上 (土日祝日などを除く) チェックされていることを確認します。 | AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWSSystems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| SI-2: 不具合の修復 (IRS 定義) | 政府機関は、毎日ワークステーションの電源を入れて機関のネットワークに接続したときに、(ポリシーで定義されているとおり、GFE ワークステーションを使用するリモート接続を含めて) 機関が承認した最新のパッチが適用されていること、および存在しないパッチまたは新しいパッチが必要に応じて適用されていることについて、ワークステーションがチェックされていることを確認します。また、それ以外の場合は 24 時間に 1 回以上 (土日祝日などを除く) チェックされていることを確認します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| SI-2: 不具合の修復 (IRS 定義) | 政府機関は、毎日ワークステーションの電源を入れて機関のネットワークに接続したときに、(ポリシーで定義されているとおり、GFE ワークステーションを使用するリモート接続を含めて) 機関が承認した最新のパッチが適用されていること、および存在しないパッチまたは新しいパッチが必要に応じて適用されていることについて、ワークステーションがチェックされていることを確認します。また、それ以外の場合は 24 時間に 1 回以上 (土日祝日などを除く) チェックされていることを確認します。 | セキュリティの更新やパッチは、AWS Fargate のタスクに自動的にデプロイされます。AWS Fargate のプラットフォームバージョンに影響を与えるセキュリティ上の問題が見つかった場合、AWS はそのプラットフォームバージョンにパッチを適用します。AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するには、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。 | |
| SI-2: 不具合の修復 (IRS 定義) | 政府機関は、毎日ワークステーションの電源を入れて機関のネットワークに接続したときに、(ポリシーで定義されているとおり、GFE ワークステーションを使用するリモート接続を含めて) 機関が承認した最新のパッチが適用されていること、および存在しないパッチまたは新しいパッチが必要に応じて適用されていることについて、ワークステーションがチェックされていることを確認します。また、それ以外の場合は 24 時間に 1 回以上 (土日祝日などを除く) チェックされていることを確認します。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| SI-2: 不具合の修復 (IRS 定義) | 政府機関は、毎日ワークステーションの電源を入れて機関のネットワークに接続したときに、(ポリシーで定義されているとおり、GFE ワークステーションを使用するリモート接続を含めて) 機関が承認した最新のパッチが適用されていること、および存在しないパッチまたは新しいパッチが必要に応じて適用されていることについて、ワークステーションがチェックされていることを確認します。また、それ以外の場合は 24 時間に 1 回以上 (土日祝日などを除く) チェックされていることを確認します。 | Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。 | |
| SI-4: システムモニタリング | 組織: a。情報システムをモニタリングします。1. [Assignment: organization-defined monitoring objective] (割り当て: 組織が定義したモニタリング目標) に従った攻撃と潜在的な攻撃の指標、2. ローカル、ネットワーク、およびリモートへの不正な接続、b。[Assignment: organization- defined techniques and methods] (割り当て: 組織で定義された技術と方法) を通じて、情報システムの不正使用を特定します、1. 組織で決められた必須情報を収集するため、情報システム内に戦略的に配置します、2。組織にとって重要な特定の種類のトランザクションを追跡するための、システム内のアドホックの場所、d. 侵入監視ツールから取得した情報を不正なアクセス、変更、削除から保護します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや悪意のあるアクティビティを識別するための、悪意のある IP と機械学習のリストが含まれます。 | |
| SI-4: システムモニタリング | 組織: a。情報システムをモニタリングします。1. [Assignment: organization-defined monitoring objective] (割り当て: 組織が定義したモニタリング目標) に従った攻撃と潜在的な攻撃の指標、2. ローカル、ネットワーク、およびリモートへの不正な接続、b。[Assignment: organization- defined techniques and methods] (割り当て: 組織で定義された技術と方法) を通じて、情報システムの不正使用を特定します、1. 組織で決められた必須情報を収集するため、情報システム内に戦略的に配置します、2。組織にとって重要な特定の種類のトランザクションを追跡するための、システム内のアドホックの場所、d. 侵入監視ツールから取得した情報を不正なアクセス、変更、削除から保護します。 | AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWSSecurity Hub によって、複数の AWS のサービスからのセキュリティアラート (検出結果) が集計、整理、優先順位付けされます。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。 | |
| SI-4: システムモニタリング | 組織: a。情報システムをモニタリングします。1. [Assignment: organization-defined monitoring objective] (割り当て: 組織が定義したモニタリング目標) に従った攻撃と潜在的な攻撃の指標、2. ローカル、ネットワーク、およびリモートへの不正な接続、b。[Assignment: organization- defined techniques and methods] (割り当て: 組織で定義された技術と方法) を通じて、情報システムの不正使用を特定します、1. 組織で決められた必須情報を収集するため、情報システム内に戦略的に配置します、2。組織にとって重要な特定の種類のトランザクションを追跡するための、システム内のアドホックの場所、d. 侵入監視ツールから取得した情報を不正なアクセス、変更、削除から保護します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4: システムモニタリング | 組織: a。情報システムをモニタリングします。1. [Assignment: organization-defined monitoring objective] (割り当て: 組織が定義したモニタリング目標) に従った攻撃と潜在的な攻撃の指標、2. ローカル、ネットワーク、およびリモートへの不正な接続、b。[Assignment: organization- defined techniques and methods] (割り当て: 組織で定義された技術と方法) を通じて、情報システムの不正使用を特定します、1. 組織で決められた必須情報を収集するため、情報システム内に戦略的に配置します、2。組織にとって重要な特定の種類のトランザクションを追跡するための、システム内のアドホックの場所、d. 侵入監視ツールから取得した情報を不正なアクセス、変更、削除から保護します。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| SI-4: システムモニタリング | 組織: a。情報システムをモニタリングします。1. [Assignment: organization-defined monitoring objective] (割り当て: 組織が定義したモニタリング目標) に従った攻撃と潜在的な攻撃の指標、2. ローカル、ネットワーク、およびリモートへの不正な接続、b。[Assignment: organization- defined techniques and methods] (割り当て: 組織で定義された技術と方法) を通じて、情報システムの不正使用を特定します、1. 組織で決められた必須情報を収集するため、情報システム内に戦略的に配置します、2。組織にとって重要な特定の種類のトランザクションを追跡するための、システム内のアドホックの場所、d. 侵入監視ツールから取得した情報を不正なアクセス、変更、削除から保護します。 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | Amazon OpenSearch Service ドメインで監査ログ作成が有効になっていることを確認します。監査ロギング作成により、認証の成功と失敗、OpenSearch へのリクエスト、インデックスの変更、受信検索クエリなど、OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | Amazon Redshift クラスターの接続とユーザーアクティビティに関する情報をキャプチャするには、監査ログ作成が有効になっていることを確認します。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | 環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) のログ記録を有効にします。 AWSWAF のログ記録によって、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。このログレコードには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストに関する情報、各リクエストが一致させるルールのアクションが含まれます。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント 内の API コールのアクティビティの詳細を提供します。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、通話が発生した送信元 IP アドレス、通話のタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| SI-4: システムモニタリング (IRS 定義) | すべてのインターネットアクセスポイント/ポータルは、承認されたインターネット「匿名」接続 (CISO 機関の承認などによるもの) を除き、インバウンドおよびアウトバウンドのトラフィックヘッダー情報を少なくとも 1 年間キャプチャし、保持するものとします。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| SI-7: ソフトウェア、ファームウェア、および情報の整合性 | 完全性検証ツールを使用して、システムカーネル、ドライバー、ファームウェア (例: BIOS、UEFI)、ソフトウェア (例: OS、アプリケーション、ミドルウェア) およびセキュリティ属性など、ソフトウェア、ファームウェアおよび情報に対する不正な変更を検出します。 | AWS Systems Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-7: ソフトウェア、ファームウェア、および情報の整合性 | 完全性検証ツールを使用して、システムカーネル、ドライバー、ファームウェア (例: BIOS、UEFI)、ソフトウェア (例: OS、アプリケーション、ミドルウェア) およびセキュリティ属性など、ソフトウェア、ファームウェアおよび情報に対する不正な変更を検出します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。 | |
| SI-7: ソフトウェア、ファームウェア、および情報の整合性 | 完全性検証ツールを使用して、システムカーネル、ドライバー、ファームウェア (例: BIOS、UEFI)、ソフトウェア (例: OS、アプリケーション、ミドルウェア) およびセキュリティ属性など、ソフトウェア、ファームウェアおよび情報に対する不正な変更を検出します。 | AWS CloudTrail のログファイルの検証を使用して、CloudTrail ログの整合性をチェックします。ログファイルの検証は、CloudTrail がログファイルを配信した後に変更されたか、削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュ用の SHA-256 とデジタル署名用の RSA を備えた SHA-256。これにより、CloudTrail ログファイルを検出せずに変更、削除、または偽造することは計算上実行不可能になります。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するため、Amazon DynamoDB リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーが添付されていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | データのバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWSBackup は、ポリシーベースのバックアップソリューションを備えた、フルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| SI-12: 情報の管理と保持 | 組織は、適用される法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、システム内の情報およびシステムから出力される情報を管理および保持します。 | Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。 |
テンプレート
テンプレートは、GitHub の「IRS 1075 運用のベストプラクティス
