翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
3.2.1 PCI DSS の運用上のベストプラクティス
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 と AWS マネージド Config ルール間のマッピングの例を示します。各 AWS Config ルールは特定の AWS リソースに適用され、1 つ以上のPCIDSSコントロールに関連付けられます。PCI DSS コントロールは、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | HTTP Desync の脆弱性からアプリケーションを保護するために、アプリケーションロードバランサーで HTTP Desync 緩和モードが有効になっていることを確認します。 HTTP非同期の問題により、リクエストが密かに行われ、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターのマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | AWS Network Firewall ルールグループには、ファイアウォールが 内のトラフィックを処理する方法を定義するルールが含まれていますVPC。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 1.3 | インターネットとカード会員データ環境のシステムコンポーネントとの間の直接のパブリックアクセスを禁止します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | AWS Network Firewall ポリシーは、ファイアウォールが Amazon のトラフィックをモニタリングおよび処理する方法を定義しますVPC。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | AWS Network Firewall ルールグループには、ファイアウォールが 内のトラフィックを処理する方法を定義するルールが含まれていますVPC。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、トラフィックは処理されません。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 1.3.6 | カード所有者データ (データベースなど) を保存するシステムコンポーネントを、 DMZやその他の信頼できないネットワークから分離された内部ネットワークゾーンに配置します。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント point-of-sale、 (POS) ターミナル、支払いアプリケーション、Simple Network Management Protocol (SNMP) コミュニティ文字列など、ALLデフォルトのパスワードに適用されます。 | デフォルトのユーザー名は一般公開されているため、デフォルトのユーザー名を変更すると、Amazon Relational Database Service (Amazon RDS) データベースクラスター (複数可) のアタックサーフェスを減らすのに役立ちます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント point-of-sale、 (POS) ターミナル、支払いアプリケーション、Simple Network Management Protocol (SNMP) コミュニティ文字列など、ALLデフォルトのパスワードに適用されます。 | デフォルトのユーザー名は一般公開されているため、デフォルトのユーザー名を変更すると、Amazon Relational Database Service (Amazon RDS) データベースインスタンス (複数可) のアタックサーフェスを減らすのに役立ちます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント point-of-sale、 (POS) ターミナル、支払いアプリケーション、Simple Network Management Protocol (SNMP) コミュニティ文字列など、ALLデフォルトのパスワードに適用されます。 | デフォルトのユーザー名はパブリックナレッジであるため、デフォルトのユーザー名を変更することで、Amazon Redshift クラスターのアタックサーフェスを減らすことができます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント point-of-sale、 (POS) ターミナル、支払いアプリケーション、Simple Network Management Protocol (SNMP) コミュニティ文字列など、ALLデフォルトのパスワードに適用されます。 | デフォルトの名前は一般に知られているため、設定時に変更する必要があります。Amazon Redshift クラスターのデフォルトのデータベース名を変更することで、Redshift クラスターの攻撃面を減らすことができます。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント point-of-sale、 (POS) ターミナル、支払いアプリケーション、Simple Network Management Protocol (SNMP) コミュニティ文字列など、ALLデフォルトのパスワードに適用されます。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 2.1 | ネットワークにシステムをインストールする前に、ベンダーが提供するデフォルト設定を必ず変更し、不要なデフォルトアカウントを削除または無効にします。これは、オペレーティングシステム、セキュリティサービスを提供するソフトウェア、アプリケーションおよびシステムアカウント point-of-sale、 (POS) ターミナル、支払いアプリケーション、Simple Network Management Protocol (SNMP) コミュニティ文字列など、ALLデフォルトのパスワードに適用されます。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | 認証情報は、組織ポリシーで指定されたIAMとおりにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | AWS Organizations AWS アカウント 内の を一元管理することで、アカウントが準拠していることを確認できます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 がログファイルを CloudTrail 配信した後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュの場合は SHA-256、デジタル署名RSAの場合は SHA-256 です。これにより、ログファイルを検出 CloudTrail せずに変更、削除、または偽造することが計算上実行不可能になります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、およびイベントの発生時刻が含まれます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | キーのローテーションを有効にして、暗号化期間の最後に到達した後にキーがローテーションされるようにします。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | このルールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに複数の があるかどうかを確認しますENIs。複数の がある場合、デュアルホームインスタンス、つまり複数のサブネットを持つインスタンスが発生するENIs可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で認められているシステム強化標準のソースには、‚Ä¢ Center for Internet Security (CIS) ‚Ä¢ International Organization for Standardization (ISO) SysAdmin ‚Ä¢Audit Network Security (SANS) Institute ‚Ä¢ National Institute of Standards Technology () が含まれますが、これらに限定されませんNIST。 | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager は、マネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | このルールにより、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは にアタッチされますENI。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で認められているシステム強化標準のソースには、‚Ä¢ Center for Internet Security (CIS) ‚Ä¢ International Organization for Standardization () SysAdmin ‚Ä¢Audit Network Security (SANS) Institute ‚Ä¢ National Institute of Standards Technology (ISO) が含まれますが、これらに限定されませんNIST。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 2.2 | すべてのシステムコンポーネントに対する設定の標準を作成します。この基準は、すべての既知のセキュリティ脆弱性に対処し、業界で受け入れられているシステム強化基準に準拠するものである必要がある。業界で受け入れられているシステム強化標準のソースには、以下が含まれますが、これらに限定されません。 • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology ()NIST。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターのマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| 2.2.2 | システムの機能に必要なサービス、プロトコル、デーモンのみを有効にします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| 2.2.3 | 安全ではないと考えられる必要なサービス、プロトコル、またはデーモンには、追加のセキュリティ機能を実装します。 | HTTP Desync の脆弱性からアプリケーションを保護するために、アプリケーションロードバランサーで HTTP Desync 緩和モードが有効になっていることを確認します。 HTTP非同期の問題により、リクエストが密かに行われ、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | Amazon API Gateway RESTAPIステージにSSL証明書が設定され、バックエンドシステムがリクエストが API Gateway から発信されたことを認証できるようにします。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | 機密データが存在する可能性があるため、転送中のデータを保護するために、Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| 2.3 | コンソール以外の管理者アクセスは、強力な暗号を使用して暗号化します。 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 2.4 | の対象となるシステムコンポーネントのインベントリを維持しますPCIDSS。 | このルールにより、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは にアタッチされますENI。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。 | |
| 2.4 | の対象となるシステムコンポーネントのインベントリを維持しますPCIDSS。 | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) IPsに割り当てられた Elastic が Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされます。このルールは、 環境で使用されていない をモニタリングEIPsするのに役立ちます。 | |
| 2.4 | の対象となるシステムコンポーネントのインベントリを維持しますPCIDSS。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| 2.4 | の対象となるシステムコンポーネントのインベントリを維持しますPCIDSS。 | このルールにより、Amazon Virtual Private Cloud (VPC) ネットワークアクセスコントロールリストが確実に使用されます。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。 | |
| 3.1 | データ保持および廃棄ポリシーを実装することで、カード所有者データストレージを最小限に抑えます。 すべてのカード所有者データ (CHD) ストレージについて、少なくとも以下を含む の手順とプロセス。 • データストレージの量と保持期間を、法的に必要となるものに制限する 規制、 および/またはビジネス要件 • カード所有者データの特定の保持要件 • 不要になったデータを安全に削除するためのプロセス • 定義された保持期間を超える保存されたカード所有者データを識別して安全に削除する四半期ごとのプロセス。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| 3.1 | データ保持および廃棄ポリシーを実装することで、カード所有者データストレージを最小限に抑えます。 すべてのカード所有者データ (CHD) ストレージについて、少なくとも以下を含む の手順とプロセス。 • データストレージの量と保持期間を、法的に必要となるものに制限する 規制、 および/またはビジネス要件 • カード所有者データの特定の保持要件 • 不要になったデータを安全に削除するためのプロセス • 定義された保持期間を超える保存されたカード所有者データを識別して安全に削除する四半期ごとのプロセス。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージド型のバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config のデフォルト: 1)、 requiredRetentionDays (Config のデフォルト: 35)、 requiredFrequencyUnit および (Config のデフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| 3.1 | データ保持および廃棄ポリシーを実装することで、カード所有者データストレージを最小限に抑えます。 すべてのカード所有者データ (CHD) ストレージについて、少なくとも以下を含む の手順とプロセス。 • データストレージの量と保持期間を、法的に必要となるものに制限する 規制、 および/またはビジネス要件 • カード所有者データの特定の保持要件 • 不要になったデータを安全に削除するためのプロセス • 定義された保持期間を超える保存されたカード所有者データを識別して安全に削除する四半期ごとのプロセス。 | データのバックアッププロセスを支援するために、 AWS バックアップリカバリポイントに最小保持期間が設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredRetentionDays (設定のデフォルト: 35) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| 3.1 | データ保持および廃棄ポリシーを実装することで、カード所有者データストレージを最小限に抑えます。 すべてのカード所有者データ (CHD) ストレージについて、少なくとも以下を含む の手順とプロセス。 • データストレージの量と保持期間を、法的に必要となるものに制限する 規制、 および/またはビジネス要件 • カード所有者データの特定の保持要件 • 不要になったデータを安全に削除するためのプロセス • 定義された保持期間を超える保存されたカード所有者データを識別して安全に削除する四半期ごとのプロセス。 | 自動バックアップを有効にすると、Amazon はクラスターのバックアップを毎日 ElastiCache 作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト : TRUE)、および loggingEnabled (Config デフォルト : ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えることはできませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えるのに使用できませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えるのに使用できませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中のデータを保護するため、 SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えるのに使用できませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中のデータを保護するため、 SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.4 | 次のいずれかの方法を使用して、保存されている場所 (ポータブルデジタルメディア、バックアップメディア、ログなど) で読み取りPAN不可能なレンダリングを行います。 • 強力な暗号化に基づく一方向ハッシュ (ハッシュは 全体である必要がありますPAN) • 切り捨て (ハッシュは の切り捨てられたセグメントを置き換えるのに使用できませんPAN) • インデックストークンとパッド (パッドは安全に保存する必要があります) • 関連するキー管理プロセスと手順による強力な暗号化。注: 悪意のあるユーザーが の切り捨てられたバージョンとハッシュ化されたバージョンの両方にアクセスできる場合は、元のPANデータを再構築するのが比較的簡単な作業ですPAN。同じ のハッシュバージョンと切り捨てられたバージョンPANがエンティティの環境に存在する場合は、ハッシュバージョンと切り捨てられたバージョンを相関させて元の を再構築できないように、追加のコントロールを設定する必要がありますPAN。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service () を使用した暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.5.2 | 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 3.5.2 | 暗号キーへアクセスできるのは、必要最小限の管理者に制限します。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 3.5.3 | カード所有者データの暗号化/復号に使用されるシークレットキーとプライベートキーは、常に次のフォームの 1 つ (または複数) に保存します。 • データ暗号化キーと少なくとも同じ強度のキー暗号化キーで暗号化され、 および は、データ暗号化キーとは別に保存されます。 • 安全な暗号化デバイス (ハードウェア (ホスト) セキュリティモジュール (HSM) または PTS承認済み point-of-interactionデバイスなど) 内 • 少なくとも 2 つの完全長キーコンポーネントまたはキー共有として、 業界で認められている方法に従う 注意: パブリックキーをこれらの形式のいずれかに保存する必要はありません。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 3.5.3 | カード所有者データの暗号化/復号に使用されるシークレットキーとプライベートキーは、常に次のフォームの 1 つ (または複数) に保存します。 • データ暗号化キーと少なくとも同じ強度のキー暗号化キーで暗号化され、 および は、データ暗号化キーとは別に保存されます。 • 安全な暗号化デバイス (ハードウェア (ホスト) セキュリティモジュール (HSM) または PTS承認済み point-of-interactionデバイスなど) 内 • 少なくとも 2 つの完全長キーコンポーネントまたはキー共有として、 業界で認められている方法に従う 注意: パブリックキーをこれらの形式のいずれかに保存する必要はありません。 | 保管中のデータを保護するため、 SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.5.3 | カード所有者データの暗号化/復号に使用されるシークレットキーとプライベートキーは、常に次のフォームの 1 つ (または複数) に保存します。 • データ暗号化キーと少なくとも同じ強度のキー暗号化キーで暗号化され、 および は、データ暗号化キーとは別に保存されます。 • 安全な暗号化デバイス (ハードウェア (ホスト) セキュリティモジュール (HSM) または PTS承認済み point-of-interactionデバイスなど) 内 • 少なくとも 2 つの完全長キーコンポーネントまたはキー共有として、 業界で認められている方法に従う 注意: パブリックキーをこれらの形式のいずれかに保存する必要はありません。 | 保管中のデータを保護するため、 SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 3.6.4 | 関連するアプリケーションベンダーまたはキー所有者によって定義された、暗号化期間の終了に達したキーの暗号化キーの変更 (たとえば、定義された期間が経過した後、および/または特定のキーによって一定量の暗号化テキストが生成された後)。また、業界のベストプラクティスとガイドライン (NISTSpecial Publication 800-57 など) にもとづいています。 | キーのローテーションを有効にして、暗号化期間の最後に到達した後にキーがローテーションされるようにします。 | |
| 3.6.5 | 廃止または置換 (アーカイブ、破棄、and/or revocation) of keys as deemed necessary when the integrity of the key has been weakened (for example, departure of an employee with knowledge of a clear-text key component), or keys are suspected of being compromised. Note: If retired or replaced cryptographic keys need to be retained, these keys must be securely archived (for example, by using a key-encryption key). Archived cryptographic keys should only be used for decryption/verification目的など。 | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が AWS Key Management Service () で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| 3.6.7 | 暗号化キーの不正な代替の防止 | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が AWS Key Management Service () で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | X509 証明書が によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します AWS ACM。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | Amazon API Gateway RESTAPIステージにSSL証明書が設定されていることを確認し、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | 機密データが存在する可能性があるため、転送中のデータを保護するために、Amazon OpenSearch Service ドメインへの接続で HTTPS が有効になっていることを確認します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 4.1 | 強力な暗号化テクノロジーとセキュリティプロトコルを使用して、以下のようにオープンパブリックなネットワークを介して転送される機密性の高いカード会員データを保護します。・信頼できるキーおよび証明書のみを使用する。• 使用中のプロトコルは、安全なバージョンまたは設定のみをサポートしています。• 暗号化強度は、使用する暗号化方式に適したものです。オープンなパブリックネットワークの例として、以下が含まれますが、これらに限定されません。 • インターネット • 802.11 や Bluetooth などのワイヤレステクノロジー • モバイル通信用グローバルシステム (GSM)、コード分割複数アクセス (CDMA)、パケット無線全般サービス (GPRS) • 衛星通信 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager は、マネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | セキュリティの更新とパッチは、 AWS Fargate タスクに自動的にデプロイされます。 AWS Fargate プラットフォームのバージョンに影響するセキュリティ上の問題が見つかった場合、 はプラットフォームのバージョンを AWS パッチします。 AWS Fargate を実行する Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するために、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | Amazon Relational Database Service (RDS) インスタンスでマイナーバージョンの自動アップグレードを有効にして、リレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョン更新がインストールされていることを確認します。これには、セキュリティパッチやバグ修正が含まれる場合があります。 | |
| 6.2 | ベンダーが提供する該当するセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。重要なセキュリティパッチは、公開から 1 か月以内にインストールする。注: 重要なセキュリティパッチは、要件 6.1 で定義されたリスクランキングプロセスに従って特定する必要があります。 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 6.3.2 | (手動または自動プロセスのいずれかを使用して) 潜在的なコーディングの脆弱性を特定するために、本番環境または顧客にリリースする前にカスタムコードをレビューします。• コードの変更は、元のコード作成者以外の個人、およびコードレビュー技術と安全なコーディングプラクティスに精通している個人によってレビューされます。• コードレビューにより、コードが安全なコーディングガイドラインに従って開発されていることを確認します。• リリース前に適切な修正が実施されます。• コードレビューの結果は、リリース前に管理者によってレビューおよび承認されます。 (次のページに続く) | Amazon Elastic Container Repository (ECR) イメージスキャンは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性の検証レイヤーが追加されます。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | HTTP Desync の脆弱性からアプリケーションを保護するには、アプリケーションロードバランサーで HTTP Desync 緩和モードが有効になっていることを確認します。 HTTP非同期の問題により、リクエストが密かに行われ、アプリケーションがリクエストキューやキャッシュポイズニングに対して脆弱になる可能性があります。Desync 軽減モードの種類は、モニタリングモード、防御モード、厳密モードです。防御モードがデフォルトです。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で が有効になっていることを確認します AWS WAF。は、ウェブアプリケーションや一般的なウェブの悪用APIsから保護するWAFのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる) を設定できます。悪意のある攻撃から保護ACLするために、Amazon API Gateway ステージがWAFウェブに関連付けられていることを確認する | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | に空ではないルールがあることを確認します AWS WAF。条件のないルールは、意図しない動作を引き起こす可能性があります。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | に空ではないルールグループがあることを確認します AWS WAF。空のルールグループは、意図しない動作を引き起こす可能性があります。 | |
| 6.6 | 公開用ウェブアプリケーションについては、以下のいずれかの方法により、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが既知の攻撃から保護されていることを確認します。・手動または自動のアプリケーション脆弱性セキュリティ評価ツールまたは手法から、少なくとも年 1 回、および変更後に、公開用 Web アプリケーションをレビューします (注: この評価は、要件 11.2 で実施した脆弱性スキャンとは異なります)。・ウェブベースの攻撃を検知・防止する自動化された技術ソリューション (例: ウェブアプリケーションファイアウォール) を公衆向けウェブアプリケーションの前に設置し、すべてのトラフィックを継続的にチェックします。 | にACL AWS WAFアタッチされたウェブには、ウェブリクエストを検査および制御するためのルールとルールグループのコレクションを含めることができます。ウェブACLが空の場合、ウェブトラフィックは によって検出または処理されずに通過しますWAF。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | 最小特権の原則の実装を支援するために、ルート以外のユーザーが Amazon Elastic Container Service (Amazon ECS) タスク定義へのアクセス用に指定されていることを確認します。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | このルールは、アクセスコントロールリスト (ACLs) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。 ACLsは、 AWS Identity and Access Management () より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムですIAM。の代わりにACLs、 IAMポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することをお勧めします。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | 最小特権の原則の実装を支援するために、Amazon Elastic Container Service (Amazon ECS) タスク定義で昇格された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルに従うのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを強制すると、アクセスポイントのユーザーが指定されたサブディレクトリのファイルにのみ到達できるようにすることで、データアクセスを制限できます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | 最小特権の原則の実装を支援するために、Amazon Elastic File System (Amazon EFS) でユーザー強制が有効になっていることを確認します。有効にすると、Amazon はNFSクライアントのユーザーとグループを、すべてのファイルシステムオペレーションのアクセスポイントで設定された IDs ID EFSに置き換え、この強制されたユーザー ID へのアクセスのみを許可します。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.1.1 | 各役割のアクセスニーズを定義します。・各役割が職務上アクセスする必要のあるシステムコンポーネントおよびデータリソース・リソースへのアクセスに必要な権限のレベル (例: ユーザー、管理者等)。 | Amazon OpenSearch Service ドメインできめ細かなアクセスコントロールが有効になっていることを確認します。きめ細かなアクセスコントロールは、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現する強化された認可メカニズムを提供します。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、フィールドレベルのセキュリティ、 OpenSearch サービスダッシュボードのマルチテナンシーのサポート、 OpenSearch サービスと Kibana のHTTP基本的な認証が可能になります。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.1.2 | 特権ユーザーへのアクセスIDsを、職務遂行に必要な最小限の権限に制限します。 | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | 最小特権の原則の実装を支援するために、Amazon Elastic Container Service (Amazon ECS) タスク定義で昇格された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルに従うのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを強制すると、アクセスポイントのユーザーが指定されたサブディレクトリのファイルにのみ到達できるようにすることで、データアクセスを制限できます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | 最小特権の原則の実装を支援するために、Amazon Elastic File System (Amazon EFS) でユーザー強制が有効になっていることを確認します。有効にすると、Amazon はNFSクライアントのユーザーとグループを、すべてのファイルシステムオペレーションのアクセスポイントで設定された IDs ID EFSに置き換え、この強制されたユーザー ID へのアクセスのみを許可します。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.2.1 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムには、以下のものが含まれている必要があります。すべてのシステムコンポーネントのカバレッジ | Amazon OpenSearch Service ドメインできめ細かなアクセスコントロールが有効になっていることを確認します。きめ細かなアクセスコントロールは、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現する強化された認可メカニズムを提供します。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、フィールドレベルのセキュリティ、 OpenSearch サービスダッシュボードのマルチテナンシーのサポート、 OpenSearch サービスと Kibana のHTTP基本的な認証が可能になります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | 最小特権の原則の実装を支援するために、Amazon Elastic Container Service (Amazon ECS) タスク定義で昇格された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルに従うのに役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | Amazon Elastic File System (Amazon EFS) アクセスポイントのルートディレクトリを強制すると、アクセスポイントのユーザーが指定されたサブディレクトリのファイルにのみ到達できるようにすることで、データアクセスを制限できます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | 最小特権の原則の実装を支援するために、Amazon Elastic File System (Amazon EFS) でユーザー強制が有効になっていることを確認します。有効にすると、Amazon はNFSクライアントのユーザーとグループを、すべてのファイルシステムオペレーションのアクセスポイントで設定された IDs ID EFSに置き換え、この強制されたユーザー ID へのアクセスのみを許可します。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| 7.2.2 | システムコンポーネントについて、ユーザーに必要な情報に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネントのアクセスコントロールシステムを確立します。このアクセスコントロールシステムは、以下を含む必要があります: Assignment of privileges to individuals based on job classification and function | Amazon OpenSearch Service ドメインできめ細かなアクセスコントロールが有効になっていることを確認します。きめ細かなアクセスコントロールは、Amazon OpenSearch Service ドメインへの最小特権アクセスを実現する強化された認可メカニズムを提供します。これにより、ドメインへのロールベースのアクセスコントロール、インデックス、ドキュメント、フィールドレベルのセキュリティ、 OpenSearch サービスダッシュボードのマルチテナンシーのサポート、 OpenSearch サービスと Kibana のHTTP基本的な認証が可能になります。 | |
| 7.2.3 | デフォルトの「すべて拒否」設定。 | このルールは、アクセスコントロールリスト (ACLs) が Amazon S3 バケットのアクセスコントロールに使用されているかどうかを確認します。 ACLsは、 AWS Identity and Access Management () より前の Amazon S3 バケットのレガシーアクセスコントロールメカニズムですIAM。の代わりにACLs、 IAMポリシーまたは S3 バケットポリシーを使用して、S3 バケットへのアクセスをより簡単に管理することをお勧めします。 | |
| 8.1.1 | システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザーに一意の ID を割り当てます。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| 8.1.4 | 非アクティブなユーザーアカウントを 90 日以内に削除/無効にします。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 最小特権の原則の実装を支援するために、Amazon CodeBuild プロジェクト環境で特権モードが有効になっていないことを確認します。この設定は、Docker APIsおよびコンテナの基盤となるハードウェアへの意図しないアクセスを防ぐために無効にする必要があります。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | セキュリティ上のベストプラクティスとして、機密情報を環境変数としてコンテナに渡します。Amazon ECSタスク定義のコンテナ定義の AWS Systems Manager パラメータストアまたは AWS Secrets Manager に保存されている値を参照することで、Amazon Elastic Container Service (ECS) コンテナにデータを安全に挿入できます。次に、機密情報を環境変数として、またはコンテナのログ設定で公開できます。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Amazon API Gateway RESTAPIステージにSSL証明書が設定されていることを確認し、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト : TRUE)、および loggingEnabled (Config デフォルト : ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、 SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、 SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するため、 AWS Secrets Manager シークレットで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.1 | 強力な暗号化を使用して、すべてのシステムコンポーネントの転送中および保管中に、すべての認証情報 (パスワード/フレーズなど) の読み取りができないようにレンダリングします。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service () を使用した暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| 8.2.3 | パスワード/パスフレーズは、以下を満たす必要があります: • 最低でも 7 文字以上の長さを必要とする。• 数字とアルファベットの両方が含まれている。あるいは、パスワード/パスフレーズは、少なくとも上記で指定されたパラメータと同等の複雑さと強度を有していなければなりません。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、IAMパスワードポリシーにオプション RequireUppercaseCharacters で (PCI DSS デフォルト: false) RequireLowercaseCharacters 、 (PCI DSS デフォルト: true) RequireSymbols 、 (PCI DSS デフォルト: false) RequireNumbers 、 (PCI DSS デフォルト: true) MinimumPasswordLength 、 (PCI DSS デフォルト: 7) PasswordReusePrevention 、 (PCI DSS デフォルト: 4)、 MaxPasswordAge および (PCI DSSデフォルト: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.4 | ユーザーのパスワード/パスフレーズは、少なくとも90 日ごとに変更します。 | 認証情報は、組織ポリシーで指定されたIAMとおりにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.4 | ユーザーのパスワード/パスフレーズは、少なくとも90 日ごとに変更します。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、IAMパスワードポリシーにオプション RequireUppercaseCharacters で (PCI DSS デフォルト: false) RequireLowercaseCharacters 、 (PCI DSS デフォルト: true) RequireSymbols 、 (PCI DSS デフォルト: false) RequireNumbers 、 (PCI DSS デフォルト: true) MinimumPasswordLength 、 (PCI DSS デフォルト: 7) PasswordReusePrevention 、 (PCI DSS デフォルト: 4)、 MaxPasswordAge および (PCI DSSデフォルト: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.2.4 | ユーザーのパスワード/パスフレーズは、少なくとも90 日ごとに変更します。 | このルールにより、 AWS Secrets Manager シークレットのローテーションが有効になります。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| 8.2.5 | password/passphrase that is the same as any of the last four passwords/passphrases 使用した新しい の送信を個人に許可しないでください。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、IAMパスワードポリシーにオプション RequireUppercaseCharacters で (PCI DSS デフォルト: false) RequireLowercaseCharacters 、 (PCI DSS デフォルト: true) RequireSymbols 、 (PCI DSS デフォルト: false) RequireNumbers 、 (PCI DSS デフォルト: true) MinimumPasswordLength 、 (PCI DSS デフォルト: 7) PasswordReusePrevention 、 (PCI DSS デフォルト: 4)、 MaxPasswordAge および (PCI DSSデフォルト: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| 8.3.1 | 管理アクセス権を持つ担当者CDEのために、コンソール以外のすべてのアクセスに多要素認証を に組み込みます。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| 8.3.1 | 管理アクセス権を持つ担当者CDEのために、コンソール以外のすべてのアクセスに多要素認証を に組み込みます。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| 8.3.1 | 管理アクセス権を持つ担当者CDEのために、コンソール以外のすべてのアクセスに多要素認証を に組み込みます。 | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 8.3.1 | 管理アクセス権を持つ担当者CDEのために、コンソール以外のすべてのアクセスに多要素認証を に組み込みます。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 8.3.2 | エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス (ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーアクセスを含む) に多要素認証を組み込みます。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ ENABLEDが有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAF ログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、およびイベントの発生時刻が含まれます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.1 | 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト : TRUE)、および loggingEnabled (Config デフォルト : ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ ENABLEDが有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、およびイベントの発生時刻が含まれます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.1 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。個々のすべてのユーザーによるカード所有者データへのアクセス | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.2 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。ルート権限または管理者権限を持つすべての個人が実行したアクション | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、およびイベントの発生時刻が含まれます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.3 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。すべての監査証跡へのアクセス | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、およびイベントの発生時刻が含まれます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.4 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。無効な論理アクセスの試行 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.5 | すべてのシステムコンポーネントに対して自動監査証跡を実装し、以下のイベントを再構築します。識別および認証メカニズムの使用および変更 (新規アカウントの作成や特権の昇格を含む、ただしこれに限定されない)、およびすべての変更、追加、またはルート権限または管理者権限を持つアカウントへの削除 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.2.6 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.2.6 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.6 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。監査ログの初期化、停止、または一時停止 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.2.7 | すべてのシステムコンポーネントの自動監査証跡を実装して、以下のイベントを再構築します。システムレベルオブジェクトの作成と削除 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAF ログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、およびイベントの発生時刻が含まれます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | ビルド出力ログが Amazon CloudWatch または Amazon Simple Storage Service (Amazon S3) のいずれかに送信されるように、 AWS CodeBuild プロジェクトのログ記録が有効になっていることを確認します。ビルド出力ログによって、ビルドプロジェクトに関する詳細情報が得られます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更 OpenSearch、受信検索クエリなど、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査に役立ち、可用性の問題の診断に役立ちます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| 10.3.1 | 各イベントですべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録します: ユーザー ID | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| 10.5 | 監査証跡を改ざんできないように保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 10.5 | 監査証跡を改ざんできないように保護します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 10.5 | 監査証跡を改ざんできないように保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 10.5.2 | 監査証跡ファイルを不正な変更から保護します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| 10.5.2 | 監査証跡ファイルを不正な変更から保護します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| 10.5.2 | 監査証跡ファイルを不正な変更から保護します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config のデフォルト: 1)、 requiredRetentionDays (Config のデフォルト: 35)、 requiredFrequencyUnit および (Config のデフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
| 10.5.3 | 変更が難しい一元管理されたログサーバーまたはメディアで、監査証跡ファイルをただちにバックアップします。 | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| 10.5.5 | ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、アラートを生成しなくても既存のログデータが変更されないようにします(ただし、新しいデータを追加してもアラートは生成しません)。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 がログファイルを CloudTrail 配信した後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュの場合は SHA-256、デジタル署名RSAの場合は SHA-256 です。これにより、ログファイルを検出 CloudTrail せずに変更、削除、または偽造することが計算上実行不可能になります。 | |
| 10.5.5 | ログにファイル整合性モニタリングソフトウェアまたは変更検出ソフトウェアを使用して、アラートを生成しなくても既存のログデータが変更されないようにします(ただし、新しいデータを追加してもアラートは生成しません)。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| 10.7 | 監査証跡の履歴を少なくとも 1 年間保持し、最低 3 ヶ月はすぐに分析できるようにする (例: オンライン、アーカイブ、またはバックアップから復元可能)。 | Amazon S3 のライフサイクルポリシーが、オブジェクトのライフタイム中に Amazon S3 が実行するアクションの定義に役立つように設定されていることを確認します (他のストレージクラスへのオブジェクトの移行や指定した期間後のオブジェクトのアーカイブや削除など)。 | |
| 10.7 | 監査証跡の履歴を少なくとも 1 年間保持し、最低 3 ヶ月はすぐに分析できるようにする (例: オンライン、アーカイブ、またはバックアップから復元可能)。 | データのバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、 requiredFrequencyValue (Config のデフォルト: 1)、 requiredRetentionDays (Config のデフォルト: 35)、 requiredFrequencyUnit および (Config のデフォルト: 日数) パラメータを設定できます。実際の値には、組織の要件を反映する必要があります。 | |
| 11.2.3 | 内部スキャンと外部スキャンを実行し、大幅な変更があった場合は必要に応じて再スキャンします。スキャンは資格のある担当者が実行する必要があります。 | Amazon Elastic Container Repository (ECR) イメージスキャンは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されているイメージの整合性と安全性の検証レイヤーが追加されます。 | |
| 11.4 | 侵入検知を使用すると、ネットワークへの侵入and/or intrusion-prevention techniques to detect and/orを防ぐことができます。カード会員データ環境の境界およびカード会員データ環境の重要なポイントにおけるすべてのトラフィックを監視し、危殆化の疑いがある場合は担当者に警告します。すべての侵入検知や防止エンジン、ベースライン、シグネチャを常に最新の状態に保ちます。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| 11.4 | 侵入検知を使用すると、ネットワークへの侵入and/or intrusion-prevention techniques to detect and/orを防ぐことができます。カード会員データ環境の境界およびカード会員データ環境の重要なポイントにおけるすべてのトラフィックを監視し、危殆化の疑いがある場合は担当者に警告します。すべての侵入検知や防止エンジン、ベースライン、シグネチャを常に最新の状態に保ちます。 | AWS Network Firewall ポリシーは、ファイアウォールが Amazon のトラフィックをモニタリングおよび処理する方法を定義しますVPC。ステートレスおよびステートフルのルールグループを設定して、パケットとトラフィックフローのフィルタリングし、デフォルトのトラフィック処理を定義します。 | |
| 11.5 | 重要なシステムファイル、設定ファイル、コンテンツファイルの不正な変更 (変更、追加、削除を含む) を担当者に警告するための変更検出メカニズム (例: ファイル整合性監視ツール) を導入し、少なくとも週に一度は重要ファイルの比較を実行するようにソフトウェアを構成します。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 がログファイルを CloudTrail 配信した後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュの場合は SHA-256、デジタル署名RSAの場合は SHA-256 です。これにより、ログファイルを検出 CloudTrail せずに変更、削除、または偽造することが計算上実行不可能になります。 | |
| 11.5 | 重要なシステムファイル、設定ファイル、コンテンツファイルの不正な変更 (変更、追加、削除を含む) を担当者に警告するための変更検出メカニズム (例: ファイル整合性監視ツール) を導入し、少なくとも週に一度は重要ファイルの比較を実行するようにソフトウェアを構成します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 |
テンプレート
テンプレートは、 GitHub「Operational Best Practices for PCI DSS 3.2.1
