

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon CloudWatch の Security Hub CSPM コントロール
<a name="cloudwatch-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon CloudWatch サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります
<a name="cloudwatch-1"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/1.1、CIS AWS Foundations Benchmark v1.2.0/3.3、CIS AWS Foundations Benchmark v1.4.0/1.7、CIS AWS Foundations Benchmark v1.4.0/4.3、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/7.2.1

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

ルートユーザーは、 AWS アカウントのすべてのリソースとサービスに完全かつ無制限にアクセスできます。日常的なタスクにはルートユーザーを使用しないことが強く推奨されます。ルートユーザーの使用を最小限にし、アクセス管理の最小特権の原則を採用することにより、高い権限を持つ認証情報の意図しない変更や偶発的な開示のリスクが軽減されます。

ベストプラクティスは、[アカウントおよびサービスの管理タスクを実行する](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)ときに必要となる場合のみ、ルートユーザー認証情報を使用することです。 AWS Identity and Access Management (IAM) ポリシーをグループとロールに直接適用しますが、ユーザーには適用されません。日常的に使用する管理者を設定する方法のチュートリアルについては、「*IAM ユーザーガイド*」の「[Creating your first IAM admin user and group](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)」を参照してください。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 1.7 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-1-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-2"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、不正な API コールに対するメトリクスフィルターとアラームを作成することを推奨しています。不正な API コールをモニタリングすることでアプリケーションエラーを明らかにし、悪意のあるアクティビティを検出するのにかかる時間を短縮できる可能性があります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.2 のコントロール 3.1 ](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-2-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-3"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.2

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、MFA で保護されていないコンソールログインに対するメトリクスフィルターとアラームを作成することを推奨しています。単一要素のコンソールログインをモニタリングすることにより、MFA によって保護されていないアカウントへの可視性が向上します。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.2 のコントロール 3.2 ](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-3-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-4"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.4、CIS AWS Foundations Benchmark v1.4.0/4.4、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行するかどうかを確認します。

CIS では、IAM ポリシーに加えられた変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-4-remediation"></a>

**注記**  
これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは IAM API 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-5"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.5、CIS AWS Foundations Benchmark v1.4.0/4.5、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、CloudTrail 構成設定の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、アカウント内のアクティビティを継続的に可視化できます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.5 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-5-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する
<a name="cloudwatch-6"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.6、CIS AWS Foundations Benchmark v1.4.0/4.6、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、コンソール認証の試行の失敗に対するメトリクスフィルターとアラームを作成することを推奨しています。コンソールログインの失敗をモニタリングすることにより、認証情報へのブルートフォース攻撃の試行の検出にかかるリードタイムを短縮できる可能性があり、ソース IP などの、他のイベント相関で使用できるインジケータが得られる可能性もあります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.6 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-6-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-7"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.7、CIS AWS Foundations Benchmark v1.4.0/4.7、NIST.800-171.r2 3.13.10、NIST.800-171.r2 3.13.16、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、状態が無効またはスケジュールされた削除に変更されたカスタマーマネージドキーに対するメトリクスフィルターとアラームを作成することを推奨しています。無効になっているか、または削除されたキーで暗号化されたデータには、アクセスできなくなります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.7 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。`ExcludeManagementEventSources` が `kms.amazonaws.com` を含む場合も、コントロールは失敗します。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-7-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-8"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.8、CIS AWS Foundations Benchmark v1.4.0/4.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、S3 バケットポリシーの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、機密性の高い S3 バケットの過剰な権限のあるポリシーを検出して修正するまでの時間を短縮できます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.8 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-8-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する
<a name="cloudwatch-9"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.9、CIS AWS Foundations Benchmark v1.4.0/4.9、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、 AWS Config 構成設定の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、アカウント内の設定項目を継続的に可視化できます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.9 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-9-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-10"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.10、CIS AWS Foundations Benchmark v1.4.0/4.10、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。セキュリティグループは、VPC の入力トラフィックと出力トラフィックを制御するステートフルパケットフィルターです。

CIS では、セキュリティグループの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、リソースやサービスが意図せずに公開されないようにできます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.10 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-10-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-11"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.11、CIS AWS Foundations Benchmark v1.4.0/4.11、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。NACL は、VPC 内のサブネットの入力トラフィックと出力トラフィックを制御するためのステートレスパケットフィルターとして使用されます。

CIS では、NACL の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、 AWS リソースとサービスが意図せずに公開されないようにすることができます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.11 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-11-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-12"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.12、CIS AWS Foundations Benchmark v1.4.0/4.12、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。ネットワークゲートウェイは、VPC の外部にある送信先との間でトラフィックを送受信する必要があります。

CIS では、ネットワークゲートウェイの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、すべての入力トラフィックと出力トラフィックが制御されたパスを通じて VPC 境界を通過するようになります。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.2 のコントロール 4.12 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-12-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-13"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.13、CIS AWS Foundations Benchmark v1.4.0/4.13、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行するかどうかを確認します。ルーティングテーブルは、サブネット間およびネットワークゲートウェイへのネットワークトラフィックをルーティングします。

CIS では、ルートテーブルの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、すべての VPC トラフィックが確実に想定どおりのパスを通過するようにできます。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-13-remediation"></a>

**注記**  
これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは Amazon Elastic Compute Cloud (EC2) 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します
<a name="cloudwatch-14"></a>

**関連する要件:** CIS AWS Foundations Benchmark v1.2.0/3.14、CIS AWS Foundations Benchmark v1.4.0/4.14、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**カテゴリ:** 検出 > 検出サービス

**重大度:** 低

**リソースタイプ:** `AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config ルール:** なし (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。1 つのアカウントに複数の VPC を含めることができるのに加えて、2 つの VPC 間にピア接続を作成し、ネットワークトラフィックを VPC 間でルーティングすることができます。

CIS では、VPC の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

このチェックを実行するために、Security Hub CSPM はカスタムロジックを使用して、[CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.14 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

**注記**  
Security Hub CSPM がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 証跡を検索します。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。  
チェックの結果、以下の場合は結果 `FAILED` となります。  
追跡が設定されていません。
現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。
チェックの結果、以下の場合はコントロール状況が `NO_DATA` になります。  
マルチリージョンの追跡が別のリージョンに基づいています。Security Hub CSPM は、証跡が基づいているリージョンでのみ結果を生成できます。
マルチリージョンの追跡が別のアカウントに属しています。Security Hub CSPM は、証跡を所有するアカウントの結果のみを生成できます。  
組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの証跡であり、 AWS Organizations 管理アカウントまたは CloudTrail 委任管理者アカウントによってのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは `NO_DATA` になります。メンバーアカウントでは、Security Hub CSPM はメンバー所有のリソースの結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。これらの検出結果は、クロスリージョン集約を使用して Security Hub CSPM 委任管理者アカウントで確認できます。
アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、`ListSubscriptionsByTopic` を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合、Security Hub CSPM はコントロールの検出`WARNING`結果を生成します。

### 修正
<a name="cloudwatch-14-remediation"></a>

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

1. Amazon SNS トピックを作成します。詳細については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS の開始方法](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

1. すべての AWS リージョンに適用される CloudTrail 追跡を作成します。手順については、「*AWS CloudTrail ユーザーガイド*」の「[追跡の作成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)」を参照してください。

   CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

1. メトリクスのフィルターを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

1. フィルターに基づいてアラームを作成します。手順については、「*Amazon CloudWatch ユーザーガイド*」の「[ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)」を参照してください。以下の値を使用します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります
<a name="cloudwatch-15"></a>

**関連する要件:** NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 IR-4(1)、NIST.800-53.r5 IR-4(5)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)、NIST.800-171.r2 3.3.4、NIST.800-171.r2 3.14.6

**カテゴリ:** 検出 > 検出サービス

**重要度:** 高

**リソースタイプ :** `AWS::CloudWatch::Alarm`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) ``

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  パラメータが `true` に設定されていて、アラームの状態が `ALARM` に変わるとアラームがアクションを起こす場合に、コントロールが `PASSED` 検出結果を生成します。  |  ブール値  |  カスタマイズ不可  |  `true`  | 
|  `insufficientDataActionRequired`  |  パラメータが `true` に設定されていて、アラームの状態が `INSUFFICIENT_DATA` に変わるとアラームがアクションを起こす場合に、コントロールが `PASSED` 検出結果を生成します。  |  ブール値  |  `true` または `false`  |  `false`  | 
|  `okActionRequired`  |  パラメータが `true` に設定されていて、アラームの状態が `OK` に変わるとアラームがアクションを起こす場合に、コントロールが `PASSED` 検出結果を生成します。  |  ブール値  |  `true` 、、または `false`  |  `false`  | 

このコントロールは、Amazon CloudWatch アラームに `ALARM` 状態に応じて設定されたアクションが 1 つ以上あるかどうかを確認します。`ALARM` 状態に対して設定されたアクションがアラームにない場合、コントロールは失敗します。必要に応じて、カスタムパラメータ値を含めて、`INSUFFICIENT_DATA` 状態または `OK` 状態のアラームアクションを要求することもできます。

**注記**  
Security Hub CSPM は、CloudWatch メトリクスアラームに基づいてこのコントロールを評価します。メトリクスアラームは、指定されたアクションが設定された複合アラームの一部である場合があります。コントロールは、次の場合に `FAILED` 検出結果を生成します。  
指定されたアクションは、メトリクスアラーム用に設定されていません。
メトリクスアラームは、指定されたアクションが設定された複合アラームの一部です。

このコントロールは CloudWatch アラームでアラームアクションが設定されているかどうかに重点を置いていますが、[CloudWatch.17](#cloudwatch-17) は CloudWatch アラームアクションのアクティベーションステータスに重点を置いています。

モニタリング対象のメトリクスが定義されたしきい値を超えると自動的に警告する CloudWatch アラームアクションを使用することをお勧めします。アラームをモニタリングすることで、異常なアクティビティを特定し、アラームが特定の状態になったときのセキュリティや運用上の問題に迅速に対応できます。アラームアクションの最も一般的なタイプは、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを送信して、1 人または複数のユーザーに通知することです。

### 修正
<a name="cloudwatch-15-remediation"></a>

CloudWatch アラームでサポートされているアクションの詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[アラームアクション](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)」を参照してください。

## [CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります
<a name="cloudwatch-16"></a>

**カテゴリ:** 識別 > ログ記録

**関連する要件:** NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-11、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-12

**重要度:** 中

**リソースタイプ :** `AWS::Logs::LogGroup`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html) ``

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  CloudWatch ロググループの最小保持期間 (日数)  |  列挙型  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

このコントロールは、Amazon CloudWatch ロググループの保持期間が少なくとも指定された日数以上あるかどうかをチェックします。保持期間が指定された日数未満の場合、コントロールは失敗します。保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 365 日を使用します。

CloudWatch Logs は、すべてのシステム、アプリケーション、および からのログを 1 つの高度にスケーラブルなサービス AWS のサービス に一元化します。CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Route 53、およびその他のソースからログファイルをモニタリング AWS CloudTrail、保存、およびアクセスできます。ログを少なくとも 1 年間保存することで、ログ保持標準への準拠に役立ちます。

### 修正
<a name="cloudwatch-16-remediation"></a>

ログ保持の設定については、「*Amazon CloudWatch ユーザーガイド*」の「[Change log data retention in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)」を参照してください。

## [CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります
<a name="cloudwatch-17"></a>

**カテゴリ:** 検出 > 検出サービス

**関連する要件:** NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-4(12)

**重要度:** 高

**リソースタイプ :** `AWS::CloudWatch::Alarm`

**AWS Config ルール:** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html) ``

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、CloudWatch アラームアクションがアクティブになっているかどうかをチェックします (`ActionEnabled` を true に設定する必要があります)。CloudWatch アラームのアラームアクションが非アクティブ化されていると、コントロールは失敗します。

**注記**  
Security Hub CSPM は、CloudWatch メトリクスアラームに基づいてこのコントロールを評価します。メトリクスアラームは、アラームアクションがアクティブ化された複合アラームの一部である場合があります。コントロールは、次の場合に `FAILED` 検出結果を生成します。  
指定されたアクションは、メトリクスアラーム用に設定されていません。
メトリクスアラームは、アラームアクションがアクティブ化された複合アラームの一部です。

このコントロールは CloudWatch アラームアクションのアクティベーションステータスに重点を置いていますが、[CloudWatch.15](#cloudwatch-15) は CloudWatch アラームで `ALARM` アクションが設定されているかどうかに重点を置いています。

アラームアクションは、モニタリング対象のメトリクスが定義されたしきい値を超えると自動的に警告します。アラームアクションが非アクティブ化されている場合、アラームの状態が変わってもアクションは実行されず、モニタリング対象メトリクスの変更に関する警告は表示されません。セキュリティや運用上の問題に迅速に対応できるように、CloudWatch アラームアクションをアクティブにすることをお勧めします。

### 修正
<a name="cloudwatch-17-remediation"></a>

**CloudWatch アラームアクションを有効にアクティブにするには (コンソール)**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. ナビゲーションペインの **[アラーム]** で、**[すべてのアラーム]** を選択します。

1. アクションをアクティブにするアラームを選択します。

1. **[アクション]** で、**[アラームアクション — 新規]** を選択し、**[有効化]** を選択します。

CloudWatch アラームアクションのアクティブ化の詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[アラームアクション](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)」を参照してください。