翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Athena の Security Hub CSPM コントロール
これらの AWS Security Hub CSPM コントロールは、Amazon Athena サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [Athena.1] Athena ワークグループは、保管中に暗号化する必要があります
**重要**
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。
**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化
**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
**重要度:** 中
**リソースタイプ :** `AWS::Athena::WorkGroup`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Athena ワークグループが保管中に暗号化されているかどうかをチェックします。Athena ワークグループが保管中に暗号化されていない場合、コントロールは失敗します。
Athena では、チーム、アプリケーション、またはさまざまなワークロードのクエリを実行するためのワークグループを作成できます。各ワークグループには、すべてのクエリで暗号化を有効にする設定があります。Amazon Simple Storage Service (Amazon S3) マネージドキーによるサーバー側の暗号化、 AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化、またはカスタマーマネージド KMS キーによるクライアント側の暗号化を使用できます。保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。
### 修正
Athena ワークグループの保管中の暗号化を有効にするには、「*Amazon Athena ユーザーガイド*」の「[ワークグループの編集](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)」を参照してください。**[クエリ結果の設定]** セクションで **[クエリ結果の暗号化]** をクリックします。
## [Athena.2] Athena データカタログにはタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::Athena::DataCatalog`
**AWS Config rule:** `tagged-athena-datacatalog` (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | No default value |
このコントロールは、Amazon Athena データカタログにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。データカタログにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、データカタログにキーがタグ付けされていない場合に失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
**注記**
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。
### 修正
Athena データカタログにタグを追加するには、「*Amazon Athena ユーザーガイド*」の「[Athena リソースのタグ付け](https://docs.aws.amazon.com/athena/latest/ug/tags.html)」を参照してください。
## [Athena.3] Athena ワークグループにはタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::Athena::WorkGroup`
**AWS Config rule:** `tagged-athena-workgroup` (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | No default value |
このコントロールは、Amazon Athena ワークグループにパラメータ `requiredTagKeys` で定義された特定のキーを持つタグがあるかどうかをチェックします。ワークグループにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ワークグループにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
**注記**
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。
### 修正
Athena ワークグループにタグを追加するには、「*Amazon Athena ユーザーガイド*」の「[個々のワークグループでのタグの追加と削除](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete)」を参照してください。
## [Athena.4] Athena ワークグループではログ記録が有効になっている必要があります
**カテゴリ:** 識別 > ログ記録
**重要度:** 中
**リソースタイプ :** `AWS::Athena::WorkGroup`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon Athena ワークグループのログ記録が有効になっているかどうかを確認します。ワークグループでログ記録が有効になっていない場合、コントロールは失敗します。
監査ログは、システムアクティビティを追跡およびモニタリングします。これらは、セキュリティ違反の検出、インシデントの調査、規制の遵守に役立つイベントの記録を提供します。監査ログは、組織の全体的な説明責任と透明性も強化します。
### 修正
Athena ワークグループのログ記録を有効にする方法については、「*Amazon Athena ユーザーガイド*」の「[Athena で CloudWatch クエリメトリクスを有効にする](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html)」を参照してください。