翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
800-53 rev NIST 4 に関する運用上のベストプラクティス
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
800-53 NIST ルールと AWS マネージド Config ルール間のマッピングの例を次に示します。各 Config ルールは特定の AWS リソースに適用され、1 つ以上の 800~53 NIST コントロールに関連付けられます。800-53 NIST コントロールは、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
このコンフォーマンスパックは、Payment Card Industry Qualified AWS Security Assessors LLC (AWS SAS)、HITRUSTCertified Common Security Framework Practitioners (QSAs)、およびさまざまな業界フレームワークのガイダンスと評価の提供を認定されたコンプライアンスプロフェッショナルのチームである Security Assurance Services (CCSFPs) によって検証されました。 AWS SAS プロフェッショナルは、お客様が 800-53 NIST のサブセットに合わせることができるようにこのコンフォーマンスパックを設計しました。
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | このルールにより、 AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 および Centers for Internet Security (CIS) AWS Foundations Benchmark で規定されているパスワード強度の要件以上を満たしています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true)、 RequireLowercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true) RequireSymbols 、(AWS 基本的なセキュリティのベストプラクティスの値: true) RequireNumbers 、(AWS 基本的なセキュリティのベストプラクティスの値: true) MinimumPasswordLength、(AWS 基本的なセキュリティのベストプラクティスの値: 14) PasswordReusePrevention 、(AWS 基本的なセキュリティのベストプラクティスの値: 24)、 MaxPasswordAge および (AWS 基本的なセキュリティのベストプラクティスの値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | 認証情報は、組織ポリシーで指定されたIAMとおりにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| AC-2 (1) | 組織は、情報システムアカウントの管理をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| AC-2 (3) | 情報システムは、[Assignment: organization-defined time period (割り当て: 組織で定義された期間)] の後に非アクティブなアカウントを自動的に無効にします。 | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS CloudTrail は、 マネジメントコンソールのアクションとAPI呼び出しを記録 AWS することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUDTRAIL_ ENABLEDが有効になっている場合、 CloudTrail はすべての から S3 バケット AWS リージョン にログファイルを配信します。さらに、 が新しいリージョンを起動すると AWS 、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、何もアクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AC-2 (4) | 情報システムは、アカウントの作成、変更、有効化、無効化、削除のアクションを自動的に監査し、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に通知します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (12)(a) | 組織: a。[Assignment: organization-defined atypical use (割り当て: 組織で定義された非定型の使用)] の情報システムアカウントをモニタリングします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| AC-2 (12)(a) | 組織: a。[Assignment: organization-defined atypical use (割り当て: 組織で定義された非定型の使用)] の情報システムアカウントをモニタリングします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 および Centers for Internet Security (CIS) AWS Foundations Benchmark で規定されているパスワード強度の要件以上を満たしています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true)、 RequireLowercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true) RequireSymbols 、(AWS 基本的なセキュリティのベストプラクティスの値: true) RequireNumbers 、(AWS 基本的なセキュリティのベストプラクティスの値: true) MinimumPasswordLength、(AWS 基本的なセキュリティのベストプラクティスの値: 14) PasswordReusePrevention 、(AWS 基本的なセキュリティのベストプラクティスの値: 24)、 MaxPasswordAge および (AWS 基本的なセキュリティのベストプラクティスの値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (f) | 組織: f。[Assignment: organization-defined procedures or conditions (割り当て: 組織で定義された手順または条件)] に従って、情報システムアカウントを作成、有効化、変更、無効化、および削除します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS CloudTrail は、 マネジメントコンソールのアクションとAPI呼び出しを記録 AWS することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AC-2 (g) | 組織: g。情報システムアカウントの使用をモニタリングします。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | このルールにより、 AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 および Centers for Internet Security (CIS) AWS Foundations Benchmark で規定されているパスワード強度の要件以上を満たしています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true)、 RequireLowercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true) RequireSymbols 、(AWS 基本的なセキュリティのベストプラクティスの値: true) RequireNumbers 、(AWS 基本的なセキュリティのベストプラクティスの値: true) MinimumPasswordLength、(AWS 基本的なセキュリティのベストプラクティスの値: 14) PasswordReusePrevention 、(AWS 基本的なセキュリティのベストプラクティスの値: 24)、 MaxPasswordAge および (AWS 基本的なセキュリティのベストプラクティスの値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | 認証情報は、組織ポリシーで指定されたIAMとおりにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-2 (j) | 組織: j。アカウント管理要件への準拠について、アカウントを確認します: [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)]。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) によって制限IDsされていることを確認します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-3 | 情報システムは、適用されるアクセスコントロールポリシーに従い、情報およびシステムリソースへの論理的アクセスに対して、承認された認可を実施します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。その論理的な分離により、 内 anAmazon VPCに存在するドメインは、パブリックエンドポイントを使用するドメインと比較して、追加のセキュリティレイヤーを持ちます。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | X509 証明書が によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します AWS ACM。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS 基礎セキュリティのベストプラクティス値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターのマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-4 | 情報システムは、[Assignment: organization-defined information flow control policies (割り当て: 組織で定義された情報フローの管理ポリシー)] に基づいて、システム内および相互接続されたシステム間の情報フローを制御するための承認された認可を実施します。 | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-5c | 組織: c。職務の分離をサポートするための情報システムのアクセス許可を定義します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) によって制限IDsされていることを確認します。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Codebuild プロジェクト環境内に認証情報 AWS_ACCESS_KEY_ID と が存在しない AWS_SECRET_ACCESS_KEY ことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 DMSレプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | Amazon Elastic Compute Cloud (Amazon IMDSv2) インスタンスメタデータへのアクセスと制御を保護するために、インスタンスメタデータサービスバージョン 2 (EC2) メソッドが有効になっていることを確認します。IMDSv2 メソッドはセッションベースのコントロールを使用します。ではIMDSv2、インスタンスメタデータへの変更を制限するコントロールを実装できます。 | |
| AC-6 | 組織は、最小特権の原則を採用し、組織のミッションとビジネス機能に従って割り当てられたタスクを達成するために必要なユーザー (またはユーザーに代わるプロセス) の認可されたアクセスのみを許可します。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| AC-6 (10) | 情報システムは、非特権ユーザーが特権的機能を実行して、実装されたセキュリティの保護/対策を無効化、回避、変更することを防ぎます。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| AC-17 (1) | 情報システムは、リモートアクセスの方法をモニタリングおよびコントロールします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | X509 証明書が によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します AWS ACM。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (2) | 情報システムは、リモートアクセスセッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| AC-17 (3) | 情報システムは、[Assignment: organization-defined number (割り当て: 組織で定義された数)] で管理されるネットワークアクセスコントロールポイントを介して、すべてのリモートアクセスをルーティングします。 | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 DMSレプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則が含まれている場合があり、そのようなアカウントにはアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Redshift クラスターがパブリックでないことを確認して、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| AC-21 (b) | 組織: b。ユーザーによる情報共有と共同作業の意思決定を支援するため、[Assignment: organization-defined automated mechanisms or manual processes (割り当て: 組織で定義された自動化されたメカニズムまたは手動のプロセス)] を採用します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | AWS CloudTrail は、 マネジメントコンソールのアクションとAPI呼び出しを記録 AWS することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての から S3 バケット AWS リージョン にログファイルを配信します。さらに、 が新しいリージョンを起動すると AWS 、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、何もアクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AU-2 (a)(d) | 組織: a。情報システムが以下のイベントを監査可能であることを決定します: [Assignment: organization-defined auditable events (割り当て: 組織で定義された監査可能なイベント)]: d。以下のイベントを情報システム内で監査することを決定します。[Assignment: organization-defined audited events (the subset of the auditable events defined in AU-2 a (割り当て: 組織で定義された監査可能なイベント (AU-2 a で定義された監査可能なイベントのサブ集合)]。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | AWS CloudTrail は、 マネジメントコンソールのアクションとAPI呼び出しを記録 AWS することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての から S3 バケット AWS リージョン にログファイルを配信します。さらに、 が新しいリージョンを起動すると AWS 、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、何もアクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| AU-3 | 情報システムは、発生したイベントのタイプ、イベントの発生日時、イベントの発生場所、イベントのソース、イベントの結果、イベントに関連付けられた個人またはサブジェクトの ID を証明する情報を含む監査レコードを生成します。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AU-6 (1)(3) | (1) 組織は、疑わしいアクティビティを調査し対応するための組織のプロセスをサポートするための監査のレビュー、分析、および報告のプロセスを統合する自動化されたメカニズムを採用します。(3) 組織は、さまざまなリポジトリ間で監査レコードを分析し相互に関連付けて、組織全体の状況認識を行います。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| AU-7 (1) | 情報システムは、[Assignment: organization-defined audit fields within audit records (割り当て: 組織で定義された監査レコード内の監査フィールド)] に基づいて、対象のイベントの監査レコードを処理する機能を提供します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| AU-7 (1) | 情報システムは、[Assignment: organization-defined audit fields within audit records (割り当て: 組織で定義された監査レコード内の監査フィールド)] に基づいて、対象のイベントの監査レコードを処理する機能を提供します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| AU-9 | 情報システムは、監査情報と監査ツールを不正アクセス、変更、削除から保護します。 | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| AU-9 (2) | 情報システムは、監査対象のシステムやコンポーネントとは物理的に異なるシステムまたはシステムコンポーネントに、監査記録 [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] をバックアップします。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| AU-11 | 組織は、[Assignment: organization-defined time period consistent with records retention policy] の after-the-fact監査記録を保持し、セキュリティインシデントの調査をサポートし、規制および組織情報の保存要件を満たします。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント の情報、IP アドレス、イベント発生時刻が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | AWS CloudTrail は、 マネジメントコンソールのアクションとAPI呼び出しを記録 AWS することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての から S3 バケット AWS リージョン にログファイルを配信します。さらに、 が新しいリージョンを起動すると AWS 、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、何もアクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| AU-12 (a)(c) | 情報システム: a。AU-2 a.で定義された監査可能なイベントについて、[Assignment: organization-defined information system components] での監査記録の生成機能を提供します: c。AU-2 d で定義されたイベントの監査レコードを、AU-3 で定義された内容で作成します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングを裏付ける評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングをサポートする評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングをサポートする評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングをサポートする評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングをサポートする評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立。 | このルールを有効にすると、Amazon EC2コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングが改善され、インスタンスの 1 分間のモニタリンググラフが表示されます。 | |
| CA-7 (a)(b) | 組織は、継続的なモニタリング戦略を策定し、以下を含む継続的なモニタリングプログラムを実装します。モニタリング対象の [Assignment: organization-defined metrics (割り当て: 組織で定義されたメトリクス)] の設定。モニタリングのための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] およびそれらのモニタリングをサポートする評価のための [Assignment: organization-defined frequencies (割り当て: 組織で定義された頻度)] の確立。 | Amazon Relational Database Service (Amazon RDS) を有効にして、Amazon のRDS可用性をモニタリングできるようにします。これにより、Amazon RDS データベースインスタンスの状態を詳細に把握できます。Amazon RDSストレージが複数の基盤となる物理デバイスを使用している場合、拡張モニタリングは各デバイスのデータを収集します。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータとセカンダリホストメトリクスが収集されます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールを有効にすると、組織の標準に従って、Amazon インスタンスが許可されている日数を超えて停止されているかどうかをチェックして、Amazon Elastic Compute Cloud (Amazon EC2) EC2インスタンスのベースライン設定に役立ちます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームは、インスタンスが終了したときに削除対象としてマークされます。アタッチされているインスタンスが終了したときに Amazon EBSボリュームが削除されない場合、最小機能の概念に違反する可能性があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1~blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CM-2 | 組織は、情報システムの現在のベースラインの設定を開発し、ドキュメント化し、設定を管理して維持します。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-7 (a) | 組織: a。重要な機能のみを提供するように情報システムを設定します。 | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (1) | 組織は、コンポーネントのインストール、削除、および情報システムの更新において不可欠な部分である情報システムコンポーネントのインベントリを更新します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-8 (3)(a) | 組織: a。自動化されたメカニズム [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] を採用して、情報システム内に存在する未許可のハードウェア、ソフトウェア、ファームウェアコンポーネントを検出します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| CM-8 (3)(a) | 組織: a。自動化されたメカニズム [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] を採用して、情報システム内に存在する未許可のハードウェア、ソフトウェア、ファームウェアコンポーネントを検出します。 | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| CM-8 (3)(a) | 組織: a。自動化されたメカニズム [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] を採用して、情報システム内に存在する未許可のハードウェア、ソフトウェア、ファームウェアコンポーネントを検出します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | Amazon のバックアップ機能により、データベースとトランザクションログのバックアップRDSが作成されます。Amazon は DB インスタンスのストレージボリュームスナップショットRDSを自動的に作成し、DB インスタンス全体をバックアップします。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で復旧が有効になっていること point-in-timeを確認することで、バックアップも維持されます。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | 自動バックアップを有効にすると、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-9 (b) | 組織: b。情報システムの [Assignment: organization-defined frequency consistent with recovery time and recovery point objectives] に含まれるシステムレベルの情報のバックアップを実行します。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | 冗長 Site-to-SiteVPNトンネルを実装して、耐障害性要件を満たすことができます。2 つのトンネルを使用して、接続の 1 つが使用できなくなった場合VPNの接続を確保します Site-to-Site。接続が失われるのを防ぐために、カスタマーゲートウェイが使用できなくなった場合は、2 番目の Site-to-Siteカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) と仮想プライベートゲートウェイへの 2 番目のVPN接続を設定できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon のバックアップ機能により、データベースとトランザクションログのバックアップRDSが作成されます。Amazon は DB インスタンスのストレージボリュームスナップショットRDSを自動的に作成し、DB インスタンス全体をバックアップします。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で復旧が有効になっていること point-in-timeを確認することで、バックアップも維持されます。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | 自動バックアップを有効にすると、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | Elastic Load Balancer (ELBs) のクロスゾーン負荷分散を有効にして、適切な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| CP-10 | 組織は、中断、侵害、障害の発生後、情報システムを既知の状態に復旧し再構成します。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| IA-2 | 情報システムは、組織のユーザー (または組織のユーザーに代わって実行するプロセス) を一意に識別し認証します。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 および Centers for Internet Security (CIS) AWS Foundations Benchmark で規定されているパスワード強度の要件以上を満たしています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true)、 RequireLowercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true) RequireSymbols 、(AWS 基本的なセキュリティのベストプラクティスの値: true) RequireNumbers 、(AWS 基本的なセキュリティのベストプラクティスの値: true) MinimumPasswordLength、(AWS 基本的なセキュリティのベストプラクティスの値: 14) PasswordReusePrevention 、(AWS 基本的なセキュリティのベストプラクティスの値: 24)、 MaxPasswordAge および (AWS 基本的なセキュリティのベストプラクティスの値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-2(1)(11) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(11) 情報システムには、特権アカウントと非特権アカウントへのリモートアクセスのための多要素認証を実装します。その際、要素の 1 つはアクセスを取得するシステムとは別のデバイスによって提供され、その装置が [Assignment: organization-defined strength of mechanism requirement] を満たすようにします。 | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| IA-2(1)(11) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(11) 情報システムには、特権アカウントと非特権アカウントへのリモートアクセスのための多要素認証を実装します。その際、要素の 1 つはアクセスを取得するシステムとは別のデバイスによって提供され、その装置が [Assignment: organization-defined strength of mechanism requirement] を満たすようにします。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| IA-2(1)(2)(11) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。(11) 情報システムには、特権アカウントと非特権アカウントへのリモートアクセスのための多要素認証を実装します。その際、要素の 1 つはアクセスを取得するシステムとは別のデバイスによって提供され、その装置が [Assignment: organization-defined strength of mechanism requirement] を満たすようにします。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、サインイン認証情報の上に保護レイヤーMFAを追加します。ユーザーMFAを に要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| IA-2(1)(2)(11) | (1) 情報システムは、権限のあるアカウントへのネットワークアクセスのための多要素認証を実装します。(2) 情報システムは、非特権アカウントへのネットワークアクセスのための多要素認証を実装します。(11) 情報システムには、特権アカウントと非特権アカウントへのリモートアクセスのための多要素認証を実装します。その際、要素の 1 つはアクセスを取得するシステムとは別のデバイスによって提供され、その装置が [Assignment: organization-defined strength of mechanism requirement] を満たすようにします。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| IA-5 (1)(a)(d)(e) | パスワードベースの認証のための情報システム: a。[Assignment: organization-defined requirements for case sensitivity, number of characters, mix of upper-case letters, lower-case letters, numbers, and special characters, including minimum requirements for each type (割り当て: 組織で定義された大文字と小文字の区別、文字数、大文字、小文字、数字、特殊文字の組み合わせに関する、各タイプの最小要件を含む要件)] のパスワードの複雑さを最小限に抑えます: d。[Assignment: organization- defined numbers for lifetime minimum, lifetime maximum (割り当て: 組織で定義されたライフタイムの最小および最大の数値)] のパスワードの最小および最大有効期間の制限を適用します: e。[Assignment: organization-defined number (割り当て: 組織で定義された数)] 世代のパスワードの再利用を禁止します。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 および Centers for Internet Security (CIS) AWS Foundations Benchmark で規定されているパスワード強度の要件以上を満たしています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true)、 RequireLowercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true) RequireSymbols 、(AWS 基本的なセキュリティのベストプラクティスの値: true) RequireNumbers 、(AWS 基本的なセキュリティのベストプラクティスの値: true) MinimumPasswordLength、(AWS 基本的なセキュリティのベストプラクティスの値: 14) PasswordReusePrevention 、(AWS 基本的なセキュリティのベストプラクティスの値: 24)、 MaxPasswordAge および (AWS 基本的なセキュリティのベストプラクティスの値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-5 (4) | 組織は、自動化されたツールを使用して、パスワード認証システムに [Assignment: organization-defined requirements (割り当て: 組織で定義された要件)] を満たす十分な強度があるかどうかを判断します。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 および Centers for Internet Security (CIS) AWS Foundations Benchmark で規定されているパスワード強度の要件以上を満たしています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true)、 RequireLowercaseCharacters (AWS 基本的なセキュリティのベストプラクティスの値: true) RequireSymbols 、(AWS 基本的なセキュリティのベストプラクティスの値: true) RequireNumbers 、(AWS 基本的なセキュリティのベストプラクティスの値: true) MinimumPasswordLength、(AWS 基本的なセキュリティのベストプラクティスの値: 14) PasswordReusePrevention 、(AWS 基本的なセキュリティのベストプラクティスの値: 24)、 MaxPasswordAge および (AWS 基本的なセキュリティのベストプラクティスの値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| IA-5 (7) | 組織は、暗号化されていない静的オーセンティケーターが、アプリケーションやアクセススクリプトに埋め込まれたり、ファンクションキーに割り当てられたりしていないことを確認します。 | AWS Codebuild プロジェクト環境内に認証情報 AWS_ACCESS_KEY_ID と が存在しない AWS_SECRET_ACCESS_KEY ことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| IR-4 (1) | 組織は、インシデント対応プロセスをサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない検出結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を、組織のポリシーで必要とされるとおりに設定できます。 | |
| IR-6 (1) | 組織は、セキュリティインシデントの報告をサポートするための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない検出結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を、組織のポリシーで必要とされるとおりに設定できます。 | |
| IR-7 (1) | 組織は、インシデント対応に関連する情報およびサポートの可用性を高めるための自動化されたメカニズムを採用します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない検出結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を、組織のポリシーで必要とされるとおりに設定できます。 | |
| RA-5 | 組織: a。情報システムとホストアプリケーションの脆弱性をスキャンします [組織が定義した頻度が特定され、報告and/or randomly in accordance with organization-defined process] and when new vulnerabilities potentially affecting the system/applicationsされます。b。ツール間の相互運用性を促進し、脆弱性管理プロセスの一部を自動化するために、以下の標準を使用した脆弱性スキャンツールおよびテクノロジーを採用します: 1。プラットフォーム、ソフトウェアの欠陥、不適切な構成を列挙します: 2。チェックリストとテスト手順のフォーマット: および 3。脆弱性による影響の測定: c。脆弱性スキャンレポートとセキュリティコントロール評価の結果を分析します: d。リスクの組織的評価に従って、正当な脆弱性を修正します: [Assignment: organization-defined response times (割り当て: 組織で定義された応答時間)]: および e。脆弱性スキャンプロセスおよびセキュリティコントロール評価から取得した情報を [Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] と共有し、他の情報システムにおける同様の脆弱性 (システム的な弱点や欠陥) を排除します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| RA-5 | 組織: a。情報システムとホストアプリケーションの脆弱性をスキャンします [組織が定義した頻度が特定され、報告and/or randomly in accordance with organization-defined process] and when new vulnerabilities potentially affecting the system/applicationsされます。b。ツール間の相互運用性を促進し、脆弱性管理プロセスの一部を自動化するために、以下の標準を使用した脆弱性スキャンツールおよびテクノロジーを採用します: 1。プラットフォーム、ソフトウェアの欠陥、不適切な構成を列挙します: 2。チェックリストとテスト手順のフォーマット: および 3。脆弱性による影響の測定: c。脆弱性スキャンレポートとセキュリティコントロール評価の結果を分析します: d。リスクの組織的評価に従って、正当な脆弱性を修正します: [Assignment: organization-defined response times (割り当て: 組織で定義された応答時間)]: および e。脆弱性スキャンプロセスおよびセキュリティコントロール評価から取得した情報を [Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] と共有し、他の情報システムにおける同様の脆弱性 (システム的な弱点や欠陥) を排除します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない検出結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を、組織のポリシーで必要とされるとおりに設定できます。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | AWS Codebuild プロジェクト環境内に認証情報 AWS_ACCESS_KEY_ID と が存在しない AWS_SECRET_ACCESS_KEY ことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SA-3 (a) | 組織: a。情報セキュリティの考慮事項が組み込まれた [Assignment: organization-defined system development life cycle (割り当て: 組織で定義されたシステム開発のライフサイクル)] を使用して、情報システムを管理します。 | GitHub または Bitbucket ソースリポジトリに、Codebuild プロジェクト環境内の AWS 個人用アクセストークン、サインイン認証情報が含まれURLていないことを確認します。個人用のアクセストークンやサインイン認証情報OAuthの代わりに を使用して、 GitHub または Bitbucket リポジトリにアクセスするための認可を付与します。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、またはサービスの実行中に設定管理を行います [選択 ( 1 つまたは複数): design; development; implementation; operation]: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、またはサービスの実行中に設定管理を行います [選択 ( 1 つまたは複数): design; development; implementation; operation]: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない検出結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を、組織のポリシーで必要とされるとおりに設定できます。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、またはサービスの実行中に設定管理を行います [選択 ( 1 つまたは複数): design; development; implementation; operation]: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| SA-10 | 組織は、情報システム、システムコンポーネント、情報システムサービスのデベロッパーに以下を要求します: a。システム、コンポーネント、またはサービスの実行中に設定管理を行います [選択 ( 1 つまたは複数): design; development; implementation; operation]: b。[Assignment: organization-defined configuration items under configuration management (割り当て: 組織で定義された設定管理における設定項目)] への変更の整合性をドキュメント化し、管理および制御する: c。システム、コンポーネント、サービスには組織が承認した変更のみを実装する: d。システム、コンポーネント、サービスに対する承認された変更と、それらの変更による潜在的なセキュリティへの影響をドキュメント化する: および e。システム、コンポーネント、サービス内のセキュリティの欠陥の解決状況を追跡し、結果を [Assignment: organization-defined personnel (割り当て: 組織で定義される担当者)] に報告します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| SC-2 | 情報システムは、ユーザー機能 (ユーザーインターフェイスサービスを含む) を情報システムの管理機能から分離します。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SC-4 | 情報システムは、共有システムリソースから不正で意図しない情報転送を防止します。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームは、インスタンスが終了したときに削除対象としてマークされます。アタッチされているインスタンスが終了したときに Amazon EBSボリュームが削除されない場合、最小機能の概念に違反する可能性があります。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Elastic Compute Cloud (Amazon ELB) Auto Scaling グループの Elastic Load Balancer (EC2) ヘルスチェックは、適切な容量と可用性のメンテナンスをサポートします。ロードバランサーは定期的に ping を送信したり、接続を試みたり、リクエストを送信して、Auto Scaling グループ内の Amazon EC2インスタンスのヘルスをテストしたりします。インスタンスがレポートされない場合、トラフィックは新しい Amazon EC2インスタンスに送信されます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Elastic Load Balancer (ELBs) のクロスゾーン負荷分散を有効にして、適切な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| SC-5 | 情報システムは、[Assignment: organization-defined security safeguards (割り当て: 組織で定義されたセキュリティの安全対策)] を採用することで、以下のタイプのサービス拒否攻撃の影響保護し、またはその影響を制限します。[Assignment: organization-defined types of denial of service attacks or references to sources for such information (割り当て: 組織で定義されたタイプのサービス拒否攻撃またはそれらの情報のソースの参照]。 | Amazon Relational Database Service (Amazon RDS) インスタンスで削除保護が有効になっていることを確認します。削除保護を使用して、Amazon RDSインスタンスが誤って削除されたり、悪意を持って削除されたりするのを防ぎ、アプリケーションの可用性が失われる可能性があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。その論理的な分離により、 内 anAmazon VPCに存在するドメインは、パブリックエンドポイントを使用するドメインと比較して、追加のセキュリティレイヤーを持ちます。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターのマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で が有効になっていることを確認します AWS WAF。は、ウェブアプリケーションや一般的なウェブエクスプロイトAPIsから保護するWAFのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) によって制限IDsされていることを確認します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 | 情報システム: a。システムの外部境界およびシステム内の主要な内部境界での通信をモニタリングおよびコントロールします: b 組織内のネットワークから分離された [Selection: physically; logically] でパブリックにアクセス可能なシステムコンポーネントのためのサブネットワークを採用します: および c。外部のネットワークや情報システムへの接続は、組織のセキュリティアーキテクチャに従って配置された境界保護装置で構成される管理されたインターフェイスを通じてのみ行います。 | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。その論理的な分離により、 内 anAmazon VPCに存在するドメインは、パブリックエンドポイントを使用するドメインと比較して、追加のセキュリティレイヤーを持ちます。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 DMSレプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) によって制限IDsされていることを確認します。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| SC-7 (3) | 組織は、情報システムへの外部ネットワーク接続の数を制限します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SC-8 | 情報システムは、転送される情報の [選択 (1 つまたは複数): confidentiality; integrity] を保護します。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の [選択 (1 つまたは複数): confidentiality; integrity] を保護します。 | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の [選択 (1 つまたは複数): confidentiality; integrity] を保護します。 | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の [選択 (1 つまたは複数): confidentiality; integrity] を保護します。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の [選択 (1 つまたは複数): confidentiality; integrity] を保護します。 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の [選択 (1 つまたは複数): confidentiality; integrity] を保護します。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 | 情報システムは、転送される情報の [選択 ( 1 つまたは複数): confidentiality; integrity] を保護します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-8 (1) | 情報システムでは、[Assignment: organization-defined alternative physical safeguards (割り当て: 組織で定義された代替の物理的な安全対策)] によって保護されている場合を除き、転送中の [選択 ( 1 つまたは複数): prevent unauthorized disclosure of information; detect changes to information (選択 (1 つ以上): 情報の不正開示の防止、情報の変更の検出)] のための暗号メカニズムを実装します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | X509 証明書が によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します AWS ACM。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-12 | 組織は、[Assignment: organization-defined requirements for key generation, distribution, storage, access, and destruction] に従って、情報システム内で使用される必要な暗号化の暗号化キーを確立および管理します。 | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が AWS Key Management Service () で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中のデータを保護するため、APIゲートウェイステージのキャッシュで暗号化が有効になっていることを確認します。API メソッドでは機密データをキャプチャできるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが保管中に存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用される連邦法、大統領令、指令、ポリシー、規制、標準に従って、[Assignment: organization-defined cryptographic uses and type of cryptography required for each use (割り当て: 組織で定義された暗号化の使用と、各用途に必要な暗号化のタイプ)] を実装します。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service () を使用した AWS 暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-13 | 情報システムは、適用可能な連邦法、行政命令、指令、ポリシー、規制、および標準に従って、FIPS検証済みまたはNSA承認された暗号化を実装します。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS が所有するカスタマーマスターキー () で暗号化されますCMK。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-23 | 情報システムは、通信セッションの信頼性を保護します。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、APIゲートウェイステージのキャッシュで暗号化が有効になっていることを確認します。API メソッドでは機密データをキャプチャできるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が AWS Key Management Service () で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service () を使用した AWS 暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-28 | 情報システムは、[Assignment: organization-defined information at rest (割り当て: 組織で定義された保管時の情報)] の [選択 ( 1 つまたは複数): confidentiality; integrity (選択 (1 つ以上): 機密性、完全性)] を保護します。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが保管中に存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SC-36 | 組織は、[Assignment: organization-defined processing and storage (割り当て: 組織で定義された処理とストレージ)] を、複数の物理的な場所に配布します。 | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| SC-36 | 組織は、[Assignment: organization-defined processing and storage (割り当て: 組織で定義された処理とストレージ)] を、複数の物理的な場所に配布します。 | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| SC-36 | 組織は、[Assignment: organization-defined processing and storage (割り当て: 組織で定義された処理とストレージ)] を、複数の物理的な場所に配布します。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| SI-2 (2) | 組織は、自動化されたメカニズム [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] を使用して、情報システムコンポーネントでの欠陥の修正に関する状態を判断します。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| SI-2 (2) | 組織は、自動化されたメカニズム [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] を使用して、情報システムコンポーネントでの欠陥の修正に関する状態を判断します。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-2 (2) | 組織は、自動化されたメカニズム [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] を使用して、情報システムコンポーネントでの欠陥の修正に関する状態を判断します。 | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| SI-4 (1) | 組織は、個々の侵入検知ツールを情報システム全体の侵入検知システムに接続し、設定します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| SI-4 (2) | 組織は、ほぼリアルタイムのイベント分析をサポートするための自動化されたツールを採用します。 | このルールを有効にすると、Amazon EC2コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングが改善され、インスタンスのモニタリンググラフが 1 分間表示されます。 | |
| SI-4 (4) | 情報システムは、異常なまたは許可されていない活動または状態について、インバウンドおよびアウトバウンドの通信トラフィック [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] をモニタリングします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SI-4 (4) | 情報システムは、異常なまたは許可されていない活動または状態について、インバウンドおよびアウトバウンドの通信トラフィック [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] をモニタリングします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| SI-4 (4) | 情報システムは、異常なまたは許可されていない活動または状態について、インバウンドおよびアウトバウンドの通信トラフィック [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] をモニタリングします。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (4) | 情報システムは、異常なまたは許可されていない活動または状態について、インバウンドおよびアウトバウンドの通信トラフィック [Assignment: organization-defined frequency (割り当て: 組織で定義された頻度)] をモニタリングします。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (5) | 情報システムは、以下の侵害または潜在的な侵害の兆候が発生した場合、[Assignment: organization-defined personnel or roles (割り当て: 組織で定義された人員またはロール)] に [Assignment: organization- defined compromise indicators (割り当て: 組織で定義された妥協の指標)] のアラートを送信します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SI-4 (16) | 組織は、情報システム全体で採用されているモニタリングツールからの情報を相関させます。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を、組織のポリシーで必要とされるとおりに設定できます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で が有効になっていることを確認します AWS WAF。は、ウェブアプリケーションや一般的なウェブの悪用APIsから保護するWAFのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| SI-4 (a)(b)(c) | 組織: a。情報システムをモニタリングして、以下を検出します: 1。[Assignment: organization- defined monitoring objectives] に準拠した攻撃と潜在的な攻撃の指標: 2。未許可のローカル、ネットワーク、リモート接続: b。[Assignment: organization- defined techniques and methods (割り当て: 組織で定義された技術と方法] を通じて、情報システムの不正使用を特定します: c。モニタリング装置のデプロイ: (i) 組織が決定した重要な情報を収集するため、情報システム内に戦略的にデプロイし、(ii) 組織が関心を持つ特定のタイプのトランザクションを追跡するため、システム内のアドホックな場所にデプロイします。 | このルールを有効にすると、Amazon EC2コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングが改善され、インスタンスのモニタリンググラフが 1 分間表示されます。 | |
| SI-7 | 組織は、[Assignment: organization-defined software, firmware, and information (割り当て: 組織で定義されたソフトウェア、ファームウェア、情報)] に対する不正な変更を検出するための整合性検証ツールを採用します。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 がログファイルを CloudTrail 配信した後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュの場合は SHA-256、デジタル署名RSAの場合は SHA-256 です。これにより、ログファイルを検出 CloudTrail せずに変更、削除、または偽造することが計算上実行不可能になります。 | |
| SI-7 (1) | 情報システムは、[Assignment: organization-defined software, firmware, and information 割り当て: 組織で定義されたソフトウェア、ファームウェア、情報)] と [Assignment: organization-defined transitional states or security-relevant events (割り当て: 組織で定義された移行ステータスまたはセキュリティ関連イベント)]、[Assignment: organization- defined frequency (割り当て: 組織で定義された頻度)] での [選択 ( 1 つまたは複数): at startup (選択 (1 つ以上): 起動時)] との整合性のチェックを行います。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SI-7 (1) | 情報システムは、[Assignment: organization-defined software, firmware, and information 割り当て: 組織で定義されたソフトウェア、ファームウェア、情報)] と [Assignment: organization-defined transitional states or security-relevant events (割り当て: 組織で定義された移行ステータスまたはセキュリティ関連イベント)]、[Assignment: organization- defined frequency (割り当て: 組織で定義された頻度)] での [選択 ( 1 つまたは複数): at startup (選択 (1 つ以上): 起動時)] との整合性のチェックを行います。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| SI-7 (1) | 情報システムは、[Assignment: organization-defined software, firmware, and information 割り当て: 組織で定義されたソフトウェア、ファームウェア、情報)] と [Assignment: organization-defined transitional states or security-relevant events (割り当て: 組織で定義された移行ステータスまたはセキュリティ関連イベント)]、[Assignment: organization- defined frequency (割り当て: 組織で定義された頻度)] での [選択 ( 1 つまたは複数): at startup (選択 (1 つ以上): 起動時)] との整合性のチェックを行います。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 がログファイルを CloudTrail 配信した後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュの場合は SHA-256、デジタル署名RSAの場合は SHA-256 です。これにより、ログファイルを検出 CloudTrail せずに変更、削除、または偽造することが計算上実行不可能になります。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | Amazon のバックアップ機能により、データベースとトランザクションログのバックアップRDSが作成されます。Amazon は DB インスタンスのストレージボリュームスナップショットRDSを自動的に作成し、DB インスタンス全体をバックアップします。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で復旧が有効になっていること point-in-timeを確認することで、バックアップも維持されます。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | 自動バックアップを有効にすると、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| SI-12 | 組織は、適用される連邦法、大統領令、指令、ポリシー、規制、基準、運用要件に従って、情報システム内の情報およびシステムから出力される情報を処理および保持します。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 |
テンプレート
テンプレートは、 GitHub「Operational Best Practices for NIST 800-53 rev 4
