翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Well-Architected フレームワークのセキュリティの柱に関する運用上のベストプラクティス
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、Amazon Web Services の Well-Architected Framework セキュリティの柱と AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールは特定の AWS リソースに適用され、柱の設計原則の 1 つ以上に関連しています。A Well-Architected フレームワークのカテゴリを、複数の Config ルールに関連付けることができます これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
| コントロール ID | コントロールの概要 | AWS Config ルール | ガイダンス |
|---|---|---|---|
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | AWS Organizations AWS アカウント 内の の一元管理は、アカウントが確実に準拠するようにするのに役立ちます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報の上に保護レイヤーを追加します。MFA をユーザーに要求することで、アカウントが侵害されるインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | このルールを有効にして、 AWS クラウド内のリソースへのアクセスを制限します。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報の上に保護レイヤーを追加します。をユーザーに要求することで、アカウントが侵害されるインシデントを減らしMFAます。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの を作成して使用し AWS アカウント 、最小機能の原則を組み込むのに役立ちます。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager は、マネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で要求されている Systems Manager AWS の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| SEC-1 | ワークロードを安全に運用するにはどうすればよいですか。ワークロードを安全に運用するためには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。「運用上の優秀性」で定義された要件とプロセスを組織やワークロードのレベルで作成し、あらゆる領域に適用します。 AWS および業界の推奨事項と脅威インテリジェンスを常に把握しておくと、脅威モデルとコントロールの目的を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティ運用を拡張できます。 | 認証情報 AWS_ACCESSKEY_ID と AWS_SECRET_ACCESS_KEY が AWS Codebuild プロジェクト環境内に存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためにアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。これらは、NISTSP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準で規定されている要件を満たしています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireLowercaseCharacters 、(AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true) RequireNumbers 、( MinimumPasswordLength AWS F AWS oundational Security Best Practices 値: 14) PasswordReusePrevention 、(AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためにアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためにアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害された のインシデントを減らすことができます AWS アカウント。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためにアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | このルールを有効にして、 AWS クラウド内のリソースへのアクセスを制限します。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。MFA は、サインイン認証情報の上に保護レイヤーを追加します。をユーザーに要求することで、アカウントが侵害されるインシデントを減らしMFAます。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためにアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。MFA は、サインイン認証情報の上に保護レイヤーを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスできないようにすることができます。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むために役立ちます。ポリシーには、「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | このルールにより、 AWS Secrets Manager シークレットでローテーションが有効になっていることが保証されます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | このルールにより、 AWS Secrets Manager のシークレットがローテーションスケジュールに従って正常にローテーションされます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | このルールにより、 AWS Secrets Manager シークレットで定期的なローテーションが有効になっていることが保証されます。シークレットを定期的にローテーションすることで、シークレットがアクティブになる期間が短縮され、シークレットが侵害された場合のビジネスへの影響が軽減される可能性があります。デフォルト値は 90 日です。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためのアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | 未使用の認証情報が AWS Secrets Manager に存在する場合は、最小特権の原則に違反する可能性があるため、認証情報を無効化または削除する必要があります。このルールでは、値を unusedForDays (Config デフォルト: 90) に設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためにアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | 保管中のデータを保護するため、Secrets Manager シー AWS クレットで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-2 | 人やマシンの ID はどのように管理するのですか。安全な AWS ワークロードの運用に近づくときに管理する必要がある ID には 2 種類あります。管理とアクセス権の付与が必要な ID のタイプを理解すると、適切な ID に、適切な条件下で適切なリソースにアクセスさせることができます。人間のアイデンティティ: 管理者、デベロッパー、オペレーター、エンドユーザーは、 AWS 環境とアプリケーションにアクセスするためにアイデンティティを必要とします。これらは、組織のメンバー、または共同作業を行い、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールから AWS リソースを操作する外部ユーザーです。マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなど、 AWS サービスへのリクエストを行うための ID が必要です。これらの ID には、Amazon EC2インスタンスや AWS Lambda 関数など、 AWS 環境で実行されているマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、 AWS 環境にアクセス AWS する必要がある の外部にあるマシンがある場合もあります。 | 認証情報は、組織ポリシーで指定されたとおりIAMにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | Amazon Elastic Compute Cloud (Amazon IMDSv2) インスタンスメタデータへのアクセスと制御を保護するために、インスタンスメタデータサービスバージョン 2 (EC2) メソッドが有効になっていることを確認します。IMDSv2 メソッドはセッションベースのコントロールを使用します。を使用するとIMDSv2、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | EC2 インスタンスプロファイルは、 IAMロールをEC2インスタンスに渡します。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | 最小特権の原則の実装を支援するために、ルート以外のユーザーが Amazon Elastic Container Service (Amazon ECS) タスク定義へのアクセス用に指定されていることを確認します。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | 最小特権の原則の実装を支援するために、Amazon Elastic Container Service (Amazon ECS) タスク定義で昇格された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | Amazon Elastic Container Service (ECS) コンテナへの読み取り専用アクセスを有効にすると、最小特権のプリンシパルへの準拠に役立ちます。このオプションにより、明示的な読み取り/書き込み権限がない場合にはコンテナインスタンスのファイルシステムを変更できないため、攻撃ベクトルを減らすことができます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | 最小特権の原則の実装を支援するために、Amazon Elastic File System (Amazon EFS) でユーザー強制が有効になっていることを確認します。有効にすると、Amazon はNFSクライアントのユーザーとグループを、すべてのファイルシステムオペレーションのアクセスポイントに設定された IDs ID EFSに置き換え、この強制されたユーザー ID へのアクセスのみを許可します。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | アクセス許可と承認は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務分離の原則で管理および組み込みできます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証します。は、プリンシパルのデータベースをその領域、パスワード、および各プリンシパルに関するその他の管理情報内にKDC維持します。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーの代わりに 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることが制限されます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、ポリシーに「リソース」:「*」ではなく「アクション」:「*」の「効果」:「許可」が含まれるように制限できます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、ロールベースの を作成して使用し AWS アカウント 、最小機能の原則を組み込むのに役立ちます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。ワークロードの各コンポーネントやリソースには、管理者、エンドユーザー、またはその他のコンポーネントによるアクセスが必要です。各コンポーネントへのアクセス権のある人とマシンを明確に定義し、適切な ID のタイプと、認証および認可の方法を選択します。 | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と承認に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。組織内のすべての ID へのアクセスを制限する共通コントロールを確立します。例えば、特定の AWS リージョンへのアクセスを制限したり、オペレーターが中央セキュリティチームに使用される IAMロールなどの一般的なリソースを削除できないようにしたりできます。 | AWS Organizations AWS アカウント 内の の一元管理は、アカウントが確実に準拠するようにするのに役立ちます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーション インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認することで、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他の のサービス間の安全な通信が可能になります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認することで、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間で安全な通信が可能になります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他の のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Relational Database Service (Amazon ) インスタンスがパブリックにならないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。 RDSAmazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Relational Database Service (Amazon ) インスタンスがパブリックにならないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。 RDSAmazon RDS データベースインスタンスには機密情報と原則を含めることができ、そのようなアカウントにはアクセス制御が必要です。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | 未使用の認証情報が AWS Secrets Manager に存在する場合は、最小特権の原則に違反する可能性があるため、認証情報を無効化または削除する必要があります。このルールでは、値を unusedForDays (Config デフォルト: 90) に設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があるためです。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| SEC-3 | 人とマシンのアクセス許可をどのように管理するのですか。パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。このタイプのアクセスを必要とするリソースのみへのパブリックおよびクロスアカウントアクセスを減らします。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセス可能にしないでください。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Amazon OpenSearch Service ドメインで監査ログ記録が有効になっていることを確認します。監査ログ記録を使用すると、認証の成功と失敗、 へのリクエスト、インデックスの変更、受信検索クエリなど OpenSearch、 OpenSearch ドメインでのユーザーアクティビティを追跡できます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。データを含めると AWS CloudTrail 、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケット内のオブジェクトにアクセスした AWS アカウント 情報、IP アドレス、およびイベント時刻が含まれます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。 OpenSearch サービスエラーログは、セキュリティとアクセスの監査を支援し、可用性の問題の診断に役立ちます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | AWS CloudTrail は AWS 、 マネジメントコンソールのアクションとAPI呼び出しを記録します。を呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ENABLED が有効になっている場合、 はすべての AWS リージョンから S3 バケットにログファイルを CloudTrail 配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAF ログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト : TRUE) と loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon InspectorAmazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、および AWS パートナーソリューションなどがあります。 | |
| SEC-4 | セキュリティイベントをどのように検出して調査するのですか。ログとメトリクスからイベントをキャプチャして分析し、可視性を得ることができます。ワークロードを保護するため、セキュリティイベントと潜在的な脅威に対するアクションを実行します。 | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon OpenSearch サービス (OpenSearch サービス) ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認することで、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の OpenSearch サービスドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon 内の OpenSearch サービスと他のサービス間の安全な通信が可能になります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon OpenSearch Service ドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認することで、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間で安全な通信が可能になります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他の のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、追加のセキュリティレイヤーを持ちます。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、追加のセキュリティレイヤーを持ちます。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | 強化されたVPCルーティングにより、クラスターCOPYとデータリポジトリ間のすべての および UNLOADトラフィックが Amazon を通過しますVPC。その後、セキュリティグループやネットワークアクセスコントロールリストなどのVPC機能を使用して、ネットワークトラフィックを保護できます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で が有効になっていることを確認します AWS WAF。WAF は、ウェブアプリケーションや一般的なウェブの悪用APIsから保護するのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれます) を設定できます。悪意のある攻撃から保護ACLするために、Amazon API Gateway ステージがWAFウェブに関連付けられていることを確認します。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | DMS レプリケーションインスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。DMS レプリケーションインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | EBS スナップショットをパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。EBS ボリュームスナップショットには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | このルールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに複数の があるかどうかを確認しますENIs。複数の がある場合、デュアルホームインスタンス、つまり複数のサブネットを持つインスタンスが発生するENIs可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限するとVPCs、環境内の意図しないアクセスを減らすことができます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Relational Database Service (Amazon ) インスタンスがパブリックにならないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。 RDSAmazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Relational Database Service (Amazon ) インスタンスがパブリックにならないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。 RDSAmazon RDS データベースインスタンスには機密情報と原則を含めることができ、そのようなアカウントにはアクセス制御が必要です。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon SageMaker Notebooks が直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | AWS Systems Manager (SSM) ドキュメントは、ドキュメントへの意図しないアクセスを許可する可能性があるため、公開されていないことを確認してくださいSSM。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの入出力ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループですべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | パブリック IP アドレスを使用してネットワークインターフェイスを設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセス可能にしないでください。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1~blockedPort5 個のパラメータ (Config デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| SEC-5 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | に空ではないルールがあることを確認します AWS WAF。条件のないルールは、意図しない動作を引き起こす可能性があります。 | |
| SEC-5 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | に空ではないルールグループがあることを確認します AWS WAF。空のルールグループは、意図しない動作を引き起こす可能性があります。 | |
| SEC-5 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | にアACL AWS WAFタッチされたウェブには、ウェブリクエストを検査および制御するためのルールとルールグループのコレクションを含めることができます。ウェブACLが空の場合、ウェブトラフィックは によって検出または処理されずに通過しますWAF。 | |
| SEC-5 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | このルールにより、Amazon Virtual Private Cloud (VPC) ネットワークアクセスコントロールリストが確実に使用されます。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| SEC-5 | ネットワークリソースはどのように保護するのですか。インターネットでもプライベートネットワークでも、何らかの形でネットワークに接続しているワークロードには、外部や内部のネットワークベースの脅威から保護するための複数の防御層が必要です。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | Amazon Relational Database Service () インスタンスで自動マイナーバージョンアップグレードを有効にして、リレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョン更新がインストールされていることを確認します。これには、セキュリティパッチやバグ修正が含まれる場合があります。RDS | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 CloudTrail 配信後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、ハッシュの場合は SHA-256、デジタル署名の場合は SHA-256 という業界標準のアルゴリズムを使用して構築RSAされています。これにより、検出せずに CloudTrail ログファイルを変更、削除、または偽造することが計算上実行不可能になります。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 に AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | Amazon Elastic Container Repository (ECR) イメージスキャンは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。ECR リポジトリでイメージスキャンを有効にすると、保存されるイメージの整合性と安全性の検証レイヤーが追加されます。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | モニタリングは、Amazon Elastic Container Service (ECS) および AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。Container Insights では、問題の迅速な特定と解決に役立つ、コンテナの再起動失敗などの診断情報も提供されます。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | セキュリティの更新とパッチは、 AWS Fargate タスクに自動的にデプロイされます。 AWS Fargate プラットフォームのバージョンに影響するセキュリティの問題が見つかった場合、 はプラットフォームのバージョンを AWS パッチします。 AWS Fargate を実行している Amazon Elastic Container Service (ECS) タスクのパッチ管理を支援するには、サービスのスタンドアロンタスクを更新して最新のプラットフォームバージョンを使用します。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | Amazon Elastic Compute Cloud (Amazon IMDSv2) インスタンスメタデータへのアクセスと制御を保護するために、インスタンスメタデータサービスバージョン 2 (EC2) メソッドが有効になっていることを確認します。IMDSv2 メソッドはセッションベースのコントロールを使用します。を使用するとIMDSv2、インスタンスメタデータへの変更を制限するためのコントロールを実装できます。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | このルールは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに複数の があるかどうかを確認しますENIs。複数の がある場合、デュアルホームインスタンス、つまり複数のサブネットを持つインスタンスが発生するENIs可能性があります。これにより、ネットワークセキュリティの複雑性が増し、意図しないネットワークパスとアクセスが導入する可能性があります。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | EC2 インスタンスプロファイルは、 IAMロールをEC2インスタンスに渡します。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | このルールにより、セキュリティグループが Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは にアタッチされますENI。このルールは、インベントリ内の未使用のセキュリティグループのモニタリングと環境の管理に役立ちます。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | 組織の標準に従って、Amazon インスタンスが許可された日数を超えて停止されているかどうかをチェックすることで、Amazon Elastic Compute Cloud (Amazon EC2) EC2インスタンスのベースライン設定に役立つようにこのルールを有効にします。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームは、インスタンスが終了すると削除対象としてマークされます。Amazon EBSボリュームがアタッチされているインスタンスが終了したときに削除されない場合、最小機能の概念に違反する可能性があります。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | AWS Systems Manager の関連付けを使用すると、組織内のソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。 AWS Systems Manager はマネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 | |
| SEC-6 | コンピューティングリソースはどのように保護するのですか。ワークロード内のコンピューティングリソースは、外部や内部のネットワークベースの脅威から保護するための複数の防御層を必要とします。コンピューティングリソースには、EC2インスタンス、コンテナ、 AWS Lambda 関数、データベースサービス、IoT デバイスなどが含まれます。 | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で要求されている Systems Manager AWS の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、APIゲートウェイステージのキャッシュで暗号化が有効になっていることを確認します。API メソッドでは機密データをキャプチャできるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | AWS Backup リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中の機密データを保護するために、 AWS CodeBuild アーティファクトの暗号化が有効になっていることを確認します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中の機密データを保護するため、Amazon S3 に保存されている AWS CodeBuild ログに対して暗号化が有効になっていることを確認します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が Key Management Service () AWS で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、 AWS CloudTrail 証跡で暗号化が有効になっていることを確認してください。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS が所有するカスタマーマスターキー () で暗号化されますCMK。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 機密データが存在する可能性があるため、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認してください。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 機密データが存在する可能性があるため、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認してください。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 機密データが存在する可能性があるため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認してください。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。機密データは Amazon RDSインスタンスに保管中に存在する可能性があるため、保管中の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE) と loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するために、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、 SageMaker エンドポイントで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保管中に存在する可能性があるため、保管中の暗号化を有効にして、そのデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、 SageMaker ノートブックで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保管中に存在する可能性があるため、保管中の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するため、Secrets Manager シー AWS クレットで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。保管中の Secrets Manager のシークレットに機密データが存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで AWS Key Management Service () を使用した暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | AWS Organizations AWS アカウント 内の の一元管理は、アカウントが確実に準拠するようにするのに役立ちます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config Default: True)、 blockPublicPolicy (Config Default: True)、 blockPublicAcls (Config Default: True)、および restrictPublicBuckets パラメータ (Config Default: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SEC-8 | 保管中のデータはどのように保護するのですか。複数のコントロールを実装することで保管中のデータを保護し、不正アクセスや誤操作のリスクを軽減します。 | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、デバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | X509 証明書が によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します AWS ACM。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | Amazon API Gateway RESTAPIステージにSSL証明書が設定されていることを確認して、バックエンドシステムが API Gateway からのリクエストを認証できるようにします。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化はTLS、Amazon Virtual Private Cloud (Amazon ) 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | Amazon OpenSearch Service の node-to-node 暗号化が有効になっていることを確認します。N ode-to-node 暗号化はTLS、Amazon Virtual Private Cloud (Amazon ) 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | 機密データが存在する可能性があるため、転送中のデータを保護するために、 HTTPSで Amazon OpenSearch Service ドメインへの接続が有効になっていることを確認します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが要求されていることを確認しますSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| SEC-9 | 転送中のデータはどのように保護するのですか。複数のコントロールを実装して転送中のデータを保護することで、不正アクセスや損失のリスクを軽減します。 | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを特定するための悪意のあるアクティビティと機械学習のリストが含まれます。 |
テンプレート
テンプレートは、 GitHub「: AWS Well-Architected セキュリティの柱に関する運用上のベストプラクティス
