翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ElastiCache の Security Hub CSPM コントロール
<a name="elasticache-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon ElastiCache サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります
<a name="elasticache-1"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > バックアップの有効化

**重要度:** 高

**リソースタイプ:** `AWS::ElastiCache::CacheCluster`、`AWS:ElastiCache:ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  最小スナップショット保持期間 (日数)  |  整数  |  `1`～`35`  |  `1`  | 

このコントロールは、Amazon ElastiCache (Redis OSS) クラスターで自動バックアップが有効になっているかどうかを評価します。Redis OSS クラスターの `SnapshotRetentionLimit` が指定された期間未満の場合、コントロールは失敗します。スナップショット保持期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 1 日を使用します。

ElastiCache (Redis OSS) クラスターでは、データをバックアップできます。バックアップを使用して、クラスターを復元したり、新しいクラスターをシードしたりできます。バックアップは、クラスター内の全データとクラスターのメタデータで構成されます。すべてのバックアップは、堅牢なストレージを提供する Amazon S3 に書き込まれます。新しい ElastiCache クラスターを作成し、バックアップのデータを挿入することでデータを復元できます。バックアップは AWS マネジメントコンソール、、 AWS CLI、および ElastiCache API を使用して管理できます。

**注記**  
このコントロールは、ElastiCache (Redis OSS および Valkey) レプリケーショングループも評価します。

### 修正
<a name="elasticache-1-remediation"></a>

ElastiCache クラスターの自動バックアップのスケジュールについては、「*Amazon ElastiCache ユーザーガイド*」の「[自動バックアップのスケジュール](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)」を参照してください。

## [ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。
<a name="elasticache-2"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 高

**リソースタイプ :** `AWS::ElastiCache::CacheCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon ElastiCache がキャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するかどうかを評価します。キャッシュクラスターにマイナーバージョンアップグレードを自動的に適用しない場合、コントロールは失敗します。

**注記**  
このコントロールは ElastiCache Memcached クラスターには適用されません。

自動マイナーバージョンアップグレードは、新しいマイナーキャッシュエンジンバージョンが利用可能になるとキャッシュクラスターを自動的にアップグレードできる機能であり、Amazon ElastiCache で有効化できます。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

### 修正
<a name="elasticache-2-remediation"></a>

既存の ElastiCache キャッシュクラスターにマイナーバージョンアップグレードを自動的に適用するには、「*Amazon ElastiCache ユーザーガイド*」の「[ElastiCache のバージョン管理](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html)」を参照してください。

## [ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります
<a name="elasticache-3"></a>

**関連する要件:** NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**カテゴリ:** リカバリ > 耐障害性 > 高可用性

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon ElastiCache レプリケーショングループの自動フェイルオーバーが有効になっているかどうかをチェックします。Redis OSS プリケーショングループで自動フェイルオーバーが有効になっていない場合、コントロールは失敗します。

レプリケーショングループで自動フェイルオーバーを有効にすると、プライマリノードのロールは、いずれかのリードレプリカに自動的にフェイルオーバーされます。このフェイルオーバーとレプリカの昇格により、昇格の完了後すぐに新しいプライマリへの書き込みを再開できるため、障害発生時も全体のダウンタイムを短縮できます。

### 修正
<a name="elasticache-3-remediation"></a>

既存の ElastiCache レプリケーショングループの自動フェイルオーバーを有効にするには、「*Amazon ElastiCache ユーザーガイド*」の「[ElastiCache クラスターの変更](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON)」を参照してください。ElastiCache コンソールを使用する場合は、**[自動フェイルオーバー]** を有効に設定します。

## [ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります
<a name="elasticache-4"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache レプリケーショングループが保管時に暗号化されているかどうかをチェックします。レプリケーショングループが保管時に暗号化されていない場合、コントロールは失敗します。

保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。ElastiCache (Redis OSS) レプリケーショングループは、セキュリティを強化するために、保管中に暗号化する必要があります。

### 修正
<a name="elasticache-4-remediation"></a>

ElastiCache レプリケーショングループで保管中の暗号化を設定するには、「*Amazon ElastiCache ユーザーガイド*」の「[保管時の暗号化を有効にする](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable)」を参照してください。

## [ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります
<a name="elasticache-5"></a>

**関連する要件:** NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache レプリケーショングループが転送中に暗号化されているかどうかをチェックします。レプリケーショングループが転送中に暗号化されていない場合、コントロールは失敗します。

転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。ElastiCache レプリケーショングループで転送中の暗号化を有効にすると、ある場所から別の場所に移動するデータ (クラスターのノード間、クラスターとアプリケーション間など) に対して必ず暗号化が行なわれます。

### 修正
<a name="elasticache-5-remediation"></a>

ElastiCache レプリケーショングループで転送中の暗号化を設定するには、「*Amazon ElastiCache ユーザーガイド*」の「[転送時の暗号化を有効にする](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html)」を参照してください。

## [ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります
<a name="elasticache-6"></a>

**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1

**カテゴリ:** 保護 > セキュアなアクセス管理

**重要度:** 中

**リソースタイプ :** `AWS::ElastiCache::ReplicationGroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache (Redis OSS) レプリケーショングループの Redis OSS AUTH が有効になっているかどうかを確認します。Redis OSS バージョンが 6.0 より前で `AuthToken` が使用されていない場合、ElastiCache for Redis レプリケーショングループのコントロールは失敗します。

Redis 認証トークンまたはパスワードを使用すると、Redis はクライアントにコマンドの実行を許可する前にパスワードを要求するため、データのセキュリティが向上します。Redis 6.0 以降のバージョンでは、ロールベースのアクセス制御 (RBAC) の使用をお勧めします。RBAC は 6.0 より前のバージョンの Redis ではサポートされていないため、このコントロールは RBAC 機能を使用できないバージョンのみを評価します。

### 修正
<a name="elasticache-6-remediation"></a>

ElastiCache (Redis OSS) レプリケーショングループで Redis AUTH を使用するには、「*Amazon ElastiCache ユーザーガイド*」の「[既存の ElastiCache (Redis OSS) クラスターでの AUTH トークンの変更](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token)」を参照してください。

## [ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください
<a name="elasticache-7"></a>

**関連する要件:** NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

**カテゴリ:** 保護 > セキュアなネットワーク設定

**重要度:** 高

**リソースタイプ :** `AWS::ElastiCache::CacheCluster`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、ElastiCache クラスターにカスタムサブネットグループが設定されているかどうかをチェックします。ElastiCache クラスターの `CacheSubnetGroupName` の値が `default` である場合、コントロールは失敗します。

ElastiCache クラスターを起動すると、デフォルトのサブネットグループがまだ存在しない場合は作成されます。デフォルトグループは、デフォルトの仮想プライベートクラウド (VPC) のサブネットを使用します。クラスターが存在するサブネットや、クラスターがサブネットから継承するネットワークの制限機能がより強力な、カスタムサブネットグループを使用することをお勧めします。

### 修正
<a name="elasticache-7-remediation"></a>

ElastiCache クラスターの新しいサブネットグループを作成するには、「*Amazon ElastiCache ユーザーガイド*」の「[サブネットグループの作成](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html)」を参照してください。