翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM のコントロールカテゴリ
<a name="control-categories"></a>

各コントロールにはカテゴリが割り当てられます。コントロールのカテゴリは、コントロールが適用されるセキュリティ機能を反映します。

カテゴリ値には、カテゴリ、カテゴリ内のサブカテゴリ、およびオプションでサブカテゴリ内の分類子が含まれます。例:
+ 識別 > インベントリ
+ 保護 > データ保護 > 転送中のデータの暗号化

ここでは、使用可能なカテゴリ、サブカテゴリ、および分類子の説明を示します。

## 識別
<a name="control-category-identify"></a>

システム、アセット、データ、機能に対するサイバーセキュリティのリスクを管理するための組織の理解を深めます。

**インベントリ**  
サービスは正しいリソースタグ付け戦略を実装していますか? タグ付け戦略にはリソース所有者が含まれていますか?  
どのようなリソースをサービスで使用していますか? これらは、このサービスの承認されたリソースですか?  
承認されたインベントリを可視化していますか? 例えば、Amazon EC2 Systems Manager やサービスカタログなどのサービスを使用しますか?

**ログ記録**  
サービスに関連するすべてのログ記録を安全に有効化していますか? ログファイルの例は次のとおりです。  
+ Amazon VPC フローログ
+ Elastic Load Balancing のアクセスログ
+ Amazon CloudFront ログ
+ Amazon CloudWatch Logs
+ Amazon Relational Database Service のログ記録
+ Amazon OpenSearch Service スローインデックスログ
+ X-Ray トレース
+ AWS Directory Service ログ
+ AWS Config 項目
+ スナップショット

## 保護
<a name="control-category-protect"></a>

重要なインフラストラクチャサービスを確実に提供し、安全なコーディング手法を確保するための適切な保護策を開発および実施します。

**安全なアクセス管理**  
サービスは、IAM ポリシーまたはリソースポリシーで最小特権プラクティスを使用していますか?  
パスワードとシークレットは十分に複雑なものですか? 適切にローテーションしていますか?  
サービスで多要素認証 (MFA) を使用しますか?  
このサービスはルートユーザーを回避しますか?  
リソースベースのポリシーはパブリックアクセスを許可しますか?

**セキュアなネットワーク設定**  
サービスは、パブリックおよび安全でないリモートネットワークアクセスを回避しますか?  
サービスは VPC を適切に使用しますか? 例えば、ジョブは VPC で実行する必要がありますか?  
サービスは、機密性の高いリソースを適切にセグメント化および分離しますか?

**データ保護**  
保管中のデータの暗号化 - サービスは保管中のデータを暗号化しますか?  
転送中のデータの暗号化 - サービスで転送中のデータを暗号化していますか?  
データの整合性 - サービスでデータの整合性を検証していますか?  
データの削除保護 - サービスはデータの誤削除を防止しますか?  
データの管理/使用状況 - 機密データの場所を証跡するために Amazon Macie などのサービスを使用していますか?

**API の保護**  
サービスは、サービス API オペレーション AWS PrivateLink を保護するために を使用していますか?

**保護サービス**  
適切な保護サービスが提供されていますか? 保護サービスは正しい範囲をカバーしていますか?  
保護サービスは、サービスに対する攻撃や侵害を回避するのに役立ちます。の保護サービスの例としては AWS AWS Control Tower、、 AWS WAF AWS Shield Advanced、Vanta、Secrets Manager、IAM Access Analyzer、 などがあります AWS Resource Access Manager。

**安全な開発**  
安全なコーディングプラクティスを使用していますか?  
Open Web Application Security Project (OWASP) Top 10 などの脆弱性を回避していますか?

## 検出
<a name="control-category-detect"></a>

サイバーセキュリティイベントの発生を特定するための適切なアクティビティを開発および実施します。

**検出サービス**  
正しい検出サービスは提供されていますか?  
保護サービスは正しい範囲をカバーしていますか?  
 AWS 検出サービスの例としては、Amazon GuardDuty、 AWS Security Hub CSPM、Amazon Inspector、Amazon Detective、Amazon CloudWatch アラーム AWS IoT Device Defender、 などがあります AWS Trusted Advisor。

## 応答
<a name="control-category-respond"></a>

検出されたサイバーセキュリティイベントに関するアクションを実行するための適切なアクティビティを開発および実施します。

**レスポンスアクション**  
セキュリティイベントに迅速に対応していますか?  
重要または重要度が高い結果が実際にありますか?

**フォレンジック**  
サービスのフォレンジックデータを安全に取得できますか? 例えば、True ポジティブの結果に関連する Amazon EBS スナップショットを取得していますか?  
フォレンジックアカウントを設定していますか?

## 復旧
<a name="control-category-recover"></a>

耐障害性に関する計画を保持し、サイバーセキュリティイベントで損なわれた機能やサービスを復元するための適切なアクティビティを開発および実施します。

**耐障害性**  
サービスの設定は、スムーズなフェイルオーバー、伸縮自在なスケーリング、高可用性をサポートしていますか?  
バックアップを確立していますか?