翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon DocumentDB の Security Hub CSPM コントロール
これらの AWS Security Hub CSPM コントロールは、Amazon DocumentDB (MongoDB 互換) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります
**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化
**重要度:** 中
**リソースタイプ :** `AWS::RDS::DBCluster`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon DocumentDB クラスターが保管中に暗号化されているかどうかをチェックします。Amazon DocumentDB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。
保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。Amazon DocumentDB クラスター内のデータは、セキュリティを強化するために、保管中に暗号化する必要があります。Amazon DocumentDB は、256 ビット高度暗号化標準 (AES-256) を使用し、 AWS Key Management Service (AWS KMS) に保存されている暗号化キーを使用してデータを暗号化します。
### 修正
Amazon DocumentDB クラスターを作成するときに、保管中の暗号化を有効にできます。クラスターを作成した後で暗号化設定を変更することはできません。詳細については、「*Amazon DocumentDB デベロッパーガイド*」の「[Enabling encryption at rest for an Amazon DocumentDB cluster](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling)」を参照してください。
## [DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です
**関連する要件:** NIST.800-53.r5 SI-12、PCI DSS v4.0.1/3.2.1
**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化
**重要度:** 中
**リソースタイプ :** `AWS::RDS::DBCluster`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | 最小バックアップ保持期間 (日数) | 整数 | `7`~`35` | `7` |
このコントロールは、Amazon DocumentDB クラスターのバックアップ保持期間が指定された時間枠以上であるかどうかをチェックします。バックアップ保持期間が指定された時間枠未満の場合、コントロールは失敗します。バックアップ保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 7 日間を使用します。
バックアップは、セキュリティインシデントからの迅速な復元と、システムの耐障害性の強化に役立ちます。Amazon DocumentDB クラスターのバックアップを自動化すると、システムを特定の時点に復元し、ダウンタイムとデータ損失を最小限に抑えることができます。Amazon DocumentDB では、クラスターのデフォルトのバックアップ保持期間は 1 日です。このコントロールを成功させるには、この値を 7 日から 35 日までの値に増やす必要があります。
### 修正
Amazon DocumentDB クラスターのバックアップ保持期間を変更するには、「*Amazon DocumentDB デベロッパーガイド*」の「[Amazon DocumentDB クラスターの変更](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)」を参照してください。**[バックアップ]** で、バックアップ保持期間を選択します。
## [DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません
**関連する要件:** NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4
**カテゴリ:** 保護 > セキュアなネットワーク設定
**重要度:** 非常事態
**リソースタイプ :** `AWS::RDS::DBClusterSnapshot`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon DocumentDB の手動クラスタースナップショットがパブリックかどうかをチェックします。手動クラスタースナップショットがパブリックの場合、コントロールは失敗します。
Amazon DocumentDB 手動クラスタースナップショットは、意図しない限りパブリックにしないでください。暗号化されていない手動スナップショットをパブリックとして共有すると、すべての AWS アカウントでこのスナップショットを使用できるようになります。パブリックスナップショットは、意図しないデータ漏えいにつながる可能性があります。
**注記**
このコントロールは手動クラスタースナップショットを評価します。Amazon DocumentDB 自動クラスタースナップショットを共有することはできません。ただし、自動スナップショットをコピーして手動スナップショットを作成し、そのコピーを共有できます。
### 修正
Amazon DocumentDB 手動クラスタースナップショットへのパブリックアクセスを削除するには、「*Amazon DocumentDB* デベロッパーガイド」の「[スナップショットの共有](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots)」を参照してください。プログラムでは、Amazon DocumentDB のオペレーション `modify-db-snapshot-attribute` を使用できます。`attribute-name` を `restore` として、`values-to-remove` を `all` として設定します。
## [DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります
**関連する要件:** NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.3.3
**カテゴリ:** 識別 > ログ記録
**重要度:** 中
**リソースタイプ :** `AWS::RDS::DBCluster`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon DocumentDB クラスターが監査ログを Amazon CloudWatch Logs に発行しているかどうかを確認します。クラスターが監査ログを CloudWatch Logs に発行していない場合、コントロールは失敗します。
Amazon DocumentDB (MongoDB 互換) を使用すると、クラスター内で実行されたイベントを監査できます。ログに記録されるイベントの例としては、認証の成功と失敗、データベース内のコレクションの削除、インデックスの作成などがあります。デフォルトでは、監査が Amazon DocumentDB 上で無効化されているため、この機能を有効化する必要があります。
### 修正
Amazon DocumentDB 監査ログを CloudWatch Logs に公開するには、「*Amazon DocumentDB デベロッパーガイド*」の「[監査の有効化](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing)」を参照してください。
## [DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります
**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
**カテゴリ:** 保護 > データ保護 > データ削除保護
**重要度:** 中
**リソースタイプ :** `AWS::RDS::DBCluster`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、Amazon DocumentDB クラスターで削除保護が有効になっているかどうかを確認します。クラスターで削除保護が有効になっていない場合、コントロールは失敗します。
クラスターの削除保護を有効にすることで、偶発的なデータベース削除や権限のないユーザーによる削除に対して保護の強化を提供します。削除保護が有効の間、Amazon DocumentDB クラスターは削除できません。削除リクエストを成功させるには、まず削除保護を無効にする必要があります。Amazon DocumentDB コンソールを使用してクラスターを作成する場合は、デフォルトで削除保護が有効になっています。
### 修正
*既存の Amazon DocumentDB クラスターの削除保護を有効にするには、「Amazon DocumentDB デベロッパーガイド*」の「[Amazon DocumentDB クラスターの変更](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)」を参照してください。**[クラスターの変更]** セクションで、******[削除保護の有効化]**を選択します。
## [DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります
**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化
**重要度:** 中
**リソースタイプ :** `AWS::RDS::DBCluster`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**スケジュールタイプ:** 定期的
**パラメータ:** `excludeTlsParameters`: `disabled`、`enabled` (カスタマイズ不可)
このコントロールは、Amazon DocumentDB クラスターがクラスターへの接続に TLS を要求するかどうかをチェックします。クラスターに関連付けられたクラスターパラメータグループが同期していない場合、または TLS クラスターパラメータが `disabled` または `enabled` に設定されている場合、コントロールは失敗します。
TLS を使用して、アプリケーションと Amazon DocumentDB クラスター間の接続を暗号化できます。TLS を使用すると、アプリケーションと Amazon DocumentDB クラスター間の転送中にデータが傍受されるのを防ぐことができます。Amazon DocumentDB クラスターの転送中の暗号化は、クラスターに関連付けられているクラスターパラメータグループ の TLS パラメータを使用して管理されます。転送中の暗号化が有効になっている場合、クラスターに接続するには TLS を使用したセキュアな接続が必要です。TLS パラメータ `tls1.2+`、`tls1.3+`、`fips-140-3` を使用することをお勧めします。
### 修正
Amazon DocumentDB クラスターの TLS 設定を変更する方法については、「*Amazon DocumentDB デベロッパーガイド*」の「[Encrypting data in transit](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html)」を参照してください。