翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
NIST プライバシーフレームワーク v1.0 オペレーションのベストプラクティス
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、NIST の「Privacy Framework」と、 AWS マネージド Config ルール間のマッピングの例を示します。各 AWS Config ルールは特定の AWS リソースに適用され、1 つ以上の NIST プライバシーフレームワークコントロールに関連付けられます。NIST プライバシーフレームワークコントロールは、複数の AWS Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon VPC) 内のすべての通信に対して TLS 1.2 暗号化を有効にします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | Amazon Redshift クラスターで、SQL クライアントに接続するために TLS/SSL 暗号化が必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CT.DM-P7 | 処理許可と関連するデータ値をデータ要素とともに送信するメカニズムが確立され、実施されています。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | audit-log-policy-exists(Process Check) | 組織のログ要件を定義する、監査ログの管理ポリシーを確立して維持します。これには監査ログのレビューと保持が含まれますが、これらに限定されるわけではありません。 |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内の API コールアクティビティの詳細が表示されます AWS アカウント。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションで accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon Redshift クラスターの接続とユーザーアクティビティに関する情報をキャプチャするには、監査ログ作成が有効になっていることを確認します。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACL で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。 ACLs ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を組織のポリシーで要求されているとおりに設定することができます。 | |
| CT.DM-P8 | 監査およびログレコードが、ポリシーに基づき、データ最小化の原則を組み込み決定、ドキュメント化、実施、レビューされています。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| ID.DE-P2 | データ処理エコシステム関係者 (サービスプロバイダー、顧客、パートナー、製品メーカー、アプリケーション開発者など) は、プライバシーリスク評価プロセスを使用して特定、優先順位付け、評価されます。 | annual-risk-assessment-performed(Process Check) | 年に 1 回、組織のリスク評価を実施します。リスク評価は、組織に影響を及ぼす可能性のある特定のリスクや脆弱性の影響を判断するのに役立ちます。 |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | 認証情報は、IAM アクセスキーが組織ポリシーで指定されたとおりにローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの を作成して使用し AWS アカウント 、最小機能の原則を組み込むのに役立ちます。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | このルールにより、 AWS Secrets Manager のシークレットでローテーションが有効になっていることが保証されます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) IDs によって制限されていることを確認します。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| PR.AC-P1 | ID と認証情報は、承認された個人、プロセス、およびデバイスに対して発行、管理、検証、取り消し、監査されている | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P3 | リモートアクセスが管理されている | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他の サービス間の安全な通信が可能になります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| PR.AC-P3 | リモートアクセスが管理されている | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| PR.AC-P3 | リモートアクセスが管理されている | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| PR.AC-P3 | リモートアクセスが管理されている | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| PR.AC-P3 | リモートアクセスが管理されている | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| PR.AC-P3 | リモートアクセスが管理されている | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Instance Metadata Service Version 2 (IMDSv2) メソッドが有効になっていることを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) のインスタンスメタデータのアクセスとコントロールを保護します。IMDSv2 メソッドでは、セッションベースのコントロールを使用します。IMDSv2 を使用すると、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon EMR クラスターで Kerberos を有効にすることで、最小特権と職務の分離の原則に基づいてアクセス許可と認可を管理して組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。この領域内では、Kerberos サーバーを KDC (キー配布センター) と呼びます。これは、プリンシパルが認証を行うための手段を提供するものです。KDC は、チケットを発行して認証を行います。KDC は、領域内にあるプリンシパルのデータベースに加え、プリンシパルのパスワードや、各プリンシパルに関するその他の管理情報を保持しています。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | AWS Identity and Access Management (IAM) は、IAM グループに少なくとも 1 人のユーザーがいるようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの を作成して使用し AWS アカウント 、最小機能の原則を組み込むのに役立ちます。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていない IAM パスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) IDs によって制限されていることを確認します。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | IAM アクションが、必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他の サービス間の安全な通信が可能になります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の のサービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| PR.AC-P4 | 最小特権と職務の分離の原則を組み込むことで、アクセス許可および認可が管理されている。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他の サービス間の安全な通信が可能になります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| PR.AC-P5 | ネットワークの整合性は保護されています (ネットワークの分離、ネットワークのセグメンテーションなど)。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| PR.AC-P6 | 個人とデバイスは、認証情報を証明してバインドされ、取引のリスク (個人のセキュリティやプライバシーのリスク、その他の組織リスクなど) に見合った認証が行われます。 | ID と認証情報は、組織の IAM パスワードポリシーに基づいて発行、管理、検証されます。これらは、NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしています。このルールでは、オプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、(AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14)、 PasswordReusePrevention (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を IAM パスワードポリシーに設定することができます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.AC-P6 | 個人とデバイスは、認証情報を証明してバインドされ、取引のリスク (個人のセキュリティやプライバシーのリスク、その他の組織リスクなど) に見合った認証が行われます。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーの多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らします。 | |
| PR.AC-P6 | 個人とデバイスは、認証情報を証明してバインドされ、取引のリスク (個人のセキュリティやプライバシーのリスク、その他の組織リスクなど) に見合った認証が行われます。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報に加えて更なる保護手段を追加します。ユーザーに MFA を要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| PR.AC-P6 | 個人とデバイスは、認証情報を証明してバインドされ、取引のリスク (個人のセキュリティやプライバシーのリスク、その他の組織リスクなど) に見合った認証が行われます。 | ルートユーザーに対してハードウェア MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| PR.AC-P6 | 個人とデバイスは、認証情報を証明してバインドされ、取引のリスク (個人のセキュリティやプライバシーのリスク、その他の組織リスクなど) に見合った認証が行われます。 | ルートユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。MFA は、サインイン認証情報に更なる保護手段を追加します。ルートユーザーに MFA を要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、API Gateway ステージのキャッシュで暗号化が有効になっていることを確認します。機密データは API のメソッドでキャプチャされる可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 機密データが存在する可能性があるため、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認してください。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 機密データが存在する可能性があるため、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認してください。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config Default : TRUE) と loggingEnabled (Config Default: TRUE) の値を設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、 SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保管中に存在する可能性があるため、保管中の暗号化を有効にして、そのデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、 SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保管中に存在する可能性があるため、保管中の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、Secrets Manager シー AWS クレットで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service (AWS KMS) を使用した暗号化が必要であることを確認してください。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | 保管中のデータを保護するために、必要なカスタマーマスターキー (CMKsが AWS Key Management Service (AWS KMS) で削除されるようにスケジュールされていないことを確認します。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| PR.DS-P1 | D ata-at-rest は保護されています。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS 所有のカスタマーマスターキー (CMK) で暗号化されます。 | |
| PR.DS-P2 | D ata-in-transit は保護されています。 | 転送中のデータを保護するため、暗号化されていない HTTP リクエストを Application Load Balancer が HTTPS に自動的にリダイレクトするようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P2 | D ata-in-transit は保護されています。 | Amazon API Gateway REST API ステージで SSL 証明書を設定して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| PR.DS-P2 | D ata-in-transit は保護されています。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| PR.DS-P2 | D ata-in-transit は保護されています。 | Elastic Load Balancing (ELB) が、SSL または HTTPS リスナーを使用して設定されるようにします。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P2 | D ata-in-transit は保護されています。 | 転送中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで、Secure Sockets Layer (SSL) を使用するためのリクエストが必要かどうかを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1)、 requiredRetentionDays (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、 AWS バックアップリカバリポイントに最小保持期間が設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays (設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.DS-P4 | 十分な容量で可用性が維持されている。 | データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、イベント発生時刻が含まれます。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | 認証情報 AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY が AWS Codebuild プロジェクト環境内に存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon OpenSearch Service (OpenSearch Service) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他の サービス間の安全な通信が可能になります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs と機械学習のリストが含まれます。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| PR.DS-P5 | データ漏洩に対する保護が実装されている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| PR.DS-P6 | 整合性チェックのメカニズムが、ソフトウェア、ファームウェア、および情報の整合性を検証するために使用されている。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| PR.MA-P2 | 組織のアセットのリモートメンテナンスが承認され、記録され、不正アクセスを防止する方法で実行されている。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| PR.MA-P2 | 組織のアセットのリモートメンテナンスが承認され、記録され、不正アクセスを防止する方法で実行されている。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager はマネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | このルールを有効にすると、Amazon EC2 インスタンスが、組織の基準に従って許可された日数を超えて停止しているかどうかを確認することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのベースラインの設定を行うことができます。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームが、インスタンスの終了時に削除対象としてマークされるようになります。Amazon EBS ボリュームが、アタッチされているインスタンスの終了時に削除されていない場合、最小限の機能の概念に反する可能性があります。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.PO-P1 | セキュリティ原則 (最小機能の概念など) を組み込んだ情報テクノロジーのベースライン設定が作成され、維持されます。 | AWS Organizations AWS アカウント 内の の一元管理は、アカウントが確実に準拠するようにするのに役立ちます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| AT-1: PR.PO-P10 | 脆弱性の管理計画が作成され、実装されている | vuln-management-plan-exists (Process Check) | 環境の脆弱性に対処するためのプロセスを正式に定義するため、脆弱性管理計画が策定され、実施されていることを確認します。 |
| PR.PO-P2 | 設定の変更管理プロセスが確立され、実施されている | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| PR.PO-P2 | 設定の変更管理プロセスが確立され、実施されている | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1)、 requiredRetentionDays (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、 AWS バックアップリカバリポイントに最小保持期間が設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays (設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P3 | 情報のバックアップが実施、維持、テストされている。 | データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごと、またはどちらか早い方でスナップショットを作成します。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランに含まれていることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1)、 requiredRetentionDays (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、 AWS バックアップリカバリポイントに最小保持期間が設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays (設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P7 | 対応計画 (インシデント対応やビジネス継続性) と復旧計画 (インシデント復旧や災害対策) が実施され、管理されている | データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PO-P8 | インシデント対応および復旧計画がテストされている | response-plan-tested(Process Check) | インシデント対応と復旧計画がテスト済みであることを確認します。これにより、インシデント発生時に計画が有効であるか、ギャップや更新に対処する必要があるかどうかを理解することができます。 |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込むのに役立つ AWS アカウント ロールベースを作成して使用します。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| PR.PT-P3 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他の サービス間の安全な通信が可能になります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) IDs によって制限されていることを確認します。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | EC2 インスタンスプロファイルによって、IAM ロールが EC2 インスタンスに渡されます。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| PR.PT-P2 | 重要な機能のみを提供するようにシステムを設定することで、最小限の機能の原則が組み込まれている。 | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、blockedPort1 - blockedPort5 パラメータを必要に応じて設定できます (Config デフォルト: 20、21、3389、3306、4333)。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | X509 証明書が AWS ACM によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2 インスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の OpenSearch サービスドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon VPC 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon VPC) 内にあることを確認することで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud Amazon VPC 内の Amazon OpenSearch Service ドメインを使用すると、インターネットゲートウェイ、NAT デバイス、または VPN 接続を必要とせずに、Amazon OpenSearch Service と Amazon VPC 内の他の サービス間の安全な通信が可能になります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon EMR クラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMR クラスターのマスターノードには機密情報が含まれている可能性があるため、これらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon VPC 内の他の サービス間の安全な通信を実現します。この設定では、インターネットゲートウェイ、NAT デバイス、VPN 接続を使用する必要はありません。すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。アクセスを適切に管理するには、 AWS Lambda 関数を VPC に割り当てる必要があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報と原則が含まれている可能性があるため、それらのアカウントに対するアクセスコントロールが必要です。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスでは、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられています。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon EC2 ルートテーブルで、インターネットゲートウェイへの無制限のルートがないことを確認します。Amazon VPC 内のワークロードのインターネットへのアクセスを削除または制限すると、環境内の意図しないアクセスを減らすことができます。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSM ドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリック SSM ドキュメントにより、お客様のアカウント、リソース、内部プロセスに関する情報が公開される可能性があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースが、アプリケーションやサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできないようにする必要があります。 | |
| PR.PT-P3 | 通信およびコントロールネットワークが保護されている。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。 Auto Scaling これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB で point-in-time リカバリが有効になっていることを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | 自動バックアップが有効になっている場合、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift はデータ変更の各ノードについて 8 時間ごと、または 5 GB ごとに、またはどちらか早い方でスナップショットを作成します。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランに含まれていることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config デフォルト: 1)、 requiredRetentionDays (Config デフォルト: 35)、 requiredFrequencyUnit (Config デフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | AWS Backup リカバリポイントに、リカバリポイントの削除を防止するリソースベースのポリシーがアタッチされていることを確認します。リソースベースのポリシーを使用してリカバリポイントの削除を防止すると、偶発的または意図的な削除を防ぐのに役立ちます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、 AWS バックアップリカバリポイントに最小保持期間が設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays (設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認してください。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| PR.PT-P4 | メカニズム (フェイルセーフ、ロードバランシング、ホットスワップなど) は、通常の状況や不利な状況で回復力要件を満たすために実装されます。 | データのバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
テンプレート
テンプレートは、 GitHub「Operational Best Practices for NIST Privacy Framework v1.0
