Security Hub の PCI DSS - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub の PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) は、クレジットカードおよびデビットカードの情報を安全に処理するための一連のルールとガイドラインを提供するサードパーティーのコンプライアンスフレームワークです。PCI Security Standards Council (SSC) は、このフレームワークを作成および更新します。

AWS Security Hub には、このサードパーティーフレームワークへの準拠を維持するのに役立つ PCI DSS 標準があります。この標準を使用して、カード所有者データを処理する AWS リソースのセキュリティの脆弱性を検出できます。カード所有者データまたは機密認証データを保存、処理、または送信するリソース AWS アカウント がある で、この標準を有効にすることをお勧めします。PCI SSC による評価では、この標準が検証されました。

Security Hub は、PCI DSS v3.2.1 と PCI DSS v4.0.1 の両方をサポートしています。v4.0.1 を使用して、セキュリティのベストプラクティスを最新の状態に保つことをお勧めします。両方のバージョンの標準を同時に有効にすることができます。標準を有効にする方法については、「Security Hub でセキュリティ標準を有効にする」を参照してください。現在 v3.2.1 を使用しているが v4.0.1 のみを使用する場合は、古いバージョンを無効にする前に新しいバージョンを有効にします。これにより、セキュリティチェックのギャップを防ぐことができます。Security Hub と の統合を使用して AWS Organizations いて、複数のアカウントで v4.0.1 をバッチで有効にする場合は、中央設定を使用して有効にすることをお勧めします。

以下のセクションでは、PCI DSS v3.2.1 および PCI DSS v4.0.1 に適用されるコントロールを示します。

PCI DSS v3.2.1 に適用されるコントロール

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

[Config.1] を有効にし、サービスにリンクされたロールをリソースの記録に使用する AWS Config 必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

〔GuardDuty.1] GuardDuty 有効にする必要があります

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[IAM.10] IAM ユーザーのパスワードポリシーには強力な AWS Config設定が必要です

[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.3] Lambda 関数は、 VPC

[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります

[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。

[S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL

[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります

[SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SSM.1] Amazon EC2インスタンスは で管理する必要があります AWS Systems Manager

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

PCI DSS v4.0.1 に適用されるコントロール

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔ACM.2] によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.2] フィールドレベルのログ記録を有効にする AWS AppSync 必要があります

〔AutoScaling.3] Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 (IMDSv2) を要求するようにインスタンスを設定する必要があります

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスにはパブリック IP アドレスを設定しないでください

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で廃止されたSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンを指してはいけません

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

〔CodeBuild.1] CodeBuild Bitbucket URLs ソースリポジトリには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認可が有効になっている必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントはTLS有効になっているOSS必要があります

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔DMS.7] ターゲットデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.8] ソースデータベースのDMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります

[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります

[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります

[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります

[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります

[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります

[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります

[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります

〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります

〔ECS.16] ECSタスクセットはパブリック IP アドレスを自動的に割り当てないでください

〔ECS.2] ECSサービスには、パブリック IP アドレスを自動的に割り当てないでください

〔ECS.8] シークレットはコンテナ環境変数として渡さないでください

〔EFS.4] EFSアクセスポイントはユーザー ID を適用する必要があります

〔EKS.1] EKSクラスターエンドポイントはパブリックにアクセスできません

〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります

〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります

〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります

〔ElastiCache.2] ElastiCache クラスターでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔ElastiCache.5] ElastiCache レプリケーショングループは転送中に暗号化する必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ElasticBeanstalk.3] Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch

〔ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.3] Classic Load Balancer リスナーは HTTPSまたは TLS終了で設定する必要があります

〔ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer AWS Configは、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります

[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります

〔EventBridge.3] EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

〔GuardDuty.1] GuardDuty 有効にする必要があります

〔GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります

〔GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります

〔GuardDuty.7] GuardDuty EKS Runtime Monitoring を有効にする必要があります

〔GuardDuty.9] GuardDuty RDS 保護を有効にする必要があります

[IAM.10] IAM ユーザーのパスワードポリシーには強力な AWS Config設定が必要です

[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します

[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します

[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します

[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します

[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています

[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します

[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認する サポート

[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です

[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

[IAM.9] ルートユーザーに対して MFA を有効にする必要があります

[Inspector.1] Amazon Inspector EC2スキャンを有効にする必要があります

[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります

[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります

[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります

[KMS.4] AWS KMS キーローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

〔MSK.1] MSKクラスターは、ブローカーノード間で転送中に暗号化する必要があります

〔MSK.3] MSK 接続コネクタは転送中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります

[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります

[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります

[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります

[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります

[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります

[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります

[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

[S3.5] S3 汎用バケットでは、 を使用するためのリクエストが必要です SSL

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります

[SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

〔SecretsManager.1] Secrets Manager シークレットでは、自動ローテーションを有効にする必要があります

〔SecretsManager.2] 自動ローテーションで設定された Secrets Manager シークレットは正常にローテーションする必要があります

〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが である必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります

[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります