

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Elastic Beanstalk の Security Hub CSPM コントロール
<a name="elasticbeanstalk-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Elastic Beanstalk サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。
<a name="elasticbeanstalk-1"></a>

**関連する要件:** NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**カテゴリ:** 検出 > 検出サービス > アプリケーションモニタリング

**重要度:** 低

**リソースタイプ :** `AWS::ElasticBeanstalk::Environment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ:** なし

このコントロールは、 AWS Elastic Beanstalk 環境で拡張ヘルスレポートが有効になっているかどうかをチェックします。

Elastic Beanstalk 拡張ヘルスレポートにより、基盤となるインフラストラクチャの健全性の変化に対するより迅速な対応が可能になります。これらの変更は、アプリケーションの可用性を低下させる可能性があります。

Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。サポートされている Amazon マシンイメージ (AMI) に含まれる Elastic Beanstalk ヘルスエージェントは、環境 EC2 インスタンスのログとメトリクスを評価します。

詳細については、「AWS Elastic Beanstalk 開発者ガイド」の「[拡張ヘルスレポートおよびモニタリング](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)」を参照してください。

### 修正
<a name="elasticbeanstalk-1-remediation"></a>

拡張ヘルスレポートを有効にする手順については、「AWS Elastic Beanstalk 開発者ガイド」の「[Elastic Beanstalk コンソールを使用した拡張ヘルスレポートの有効化](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)」を参照してください。

## [ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります
<a name="elasticbeanstalk-2"></a>

**関連する要件:** NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**カテゴリ:** 特定 > 脆弱性、パッチ、バージョン管理

**重要度:** 高

**リソースタイプ :** `AWS::ElasticBeanstalk::Environment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  バージョン更新レベル  |  列挙型  |  `minor`, `patch`  |  デフォルト値なし  | 

このコントロールは、Elastic Beanstalk 環境でマネージドプラットフォームの更新が有効になっているかどうかをチェックします。マネージドプラットフォームの更新が有効になっていない場合、コントロールは失敗します。デフォルトでは、何らかのプラットフォーム更新が有効になっていればコントロールは成功します。必要に応じて、特定の更新レベルを要求するカスタムパラメータ値を指定できます。

マネージドプラットフォームの更新を有効にすると、環境で使用可能な最新のプラットフォームの修正、更新、および機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。

### 修正
<a name="elasticbeanstalk-2-remediation"></a>

マネージドプラットフォームの更新を有効にするには、「*AWS Elastic Beanstalk デベロッパーガイド*」の「[To configure managed platform updates under Managed platform updates](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)」を参照してください。

## [ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります
<a name="elasticbeanstalk-3"></a>

**関連する要件:** PCI DSS v4.0.1/10.4.2

**カテゴリ:** 識別 > ログ記録

**重要度:** 高

**リソースタイプ :** `AWS::ElasticBeanstalk::Environment`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  有効期限が切れるまでログイベントを保持する日数  |  列挙型  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  デフォルト値なし  | 

このコントロールは、Elastic Beanstalk 環境が CloudWatch Logs にログを送信するように設定されているかどうかをチェックします。Elastic Beanstalk 環境が CloudWatch Logs にログを送信するように設定されていない場合、コントロールは失敗します。有効期限が切れる前の指定された日数だけログが保持される場合にのみコントロールを成功させたい場合は、必要に応じて `RetentionInDays` パラメータにカスタム値を指定できます。

CloudWatch は、アプリケーションやインフラストラクチャリソースのさまざまなメトリクスを収集して監視するのに役立ちます。CloudWatch を使用して、特定のメトリックスに基づいてアラームアクションを設定することもできます。Elastic Beanstalk 環境への可視性を高めるために、Elastic Beanstalk を CloudWatch と統合することをおすすめします。Elastic Beanstalk のログには、eb-activity.log、その環境の nginx または Apache プロキシサーバーからのアクセスログ、および環境に固有のログが含まれます。

### 修正
<a name="elasticbeanstalk-3-remediation"></a>

Elastic Beanstalk を CloudWatch Logs と統合するには、「*AWS Elastic Beanstalk デベロッパーガイド*」の「[CloudWatch Logs へのインスタンスログのストリーミング](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming)」を参照してください。