翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
PCI DSS Security Hub の v3.2.1
Security Hub の Payment Card Industry Data Security Standard (PCI DSS) には、カード所有者データを処理するための一連の AWS セキュリティのベストプラクティスが用意されています。この標準を使用して、カード所有者データを処理するリソースのセキュリティ上の脆弱性を発見できます。Security Hub は現在、アカウントレベルでコントロールをスコープします。カード所有者データを保存、処理、送信するリソースを持つすべてのアカウントで、これらのコントロールを有効にすることをお勧めします。
この標準は、PCIDSSガイダンスを提供する認定セキュリティ評価者 LLC (AWS SAS) のチームである AWS Security Assurance Services (QSAs) によって検証され、PCIDSSSecurity Standards Council (PCI ) による評価が行われましたSSC。 AWS SAS は、自動チェックがPCIDSS評価の準備において顧客を支援できることを確認しました。
このページには、セキュリティコントロールIDsとタイトルが一覧表示されます。 AWS GovCloud (US) Region および中国リージョンでは、標準固有のコントロールIDsとタイトルが使用されます。セキュリティコントロールIDsとタイトルの標準固有のコントロールIDsとタイトルへのマッピングについては、「」を参照してください統合がコントロールIDsとタイトルにどのように影響するか。
に適用されるコントロール PCI DSS
〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります
〔CloudTrail.2]保管時の暗号化を有効にする CloudTrail 必要があります
〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります
〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります
〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります
〔CloudWatch.1] 「ルート」ユーザーの使用に対してログメトリクスフィルターとアラームが存在する必要があります
〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください
〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください
[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません
〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください
〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs
〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります
〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください
〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります。 HTTPS
[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります
[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります
〔GuardDuty.1] を有効にする GuardDuty 必要があります
〔IAM.1] IAMポリシーでは、完全な「*」管理権限を許可しないでください
〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください
〔IAM.4] IAMルートユーザーアクセスキーが存在しません
〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります
〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります
ルートユーザーに対して [IAM.9] を有効にするMFA必要があります
〔IAM.10] IAMユーザーのパスワードポリシーには強力な AWS Config urations が必要です
〔IAM.19] MFA はすべてのIAMユーザーに対して有効にする必要があります
〔KMS.4] AWS KMS キーローテーションを有効にする必要があります
[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります
[Lambda.3] Lambda 関数は にある必要があります VPC
[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります
[Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません
〔RDS.1] RDSスナップショットはプライベートである必要があります
〔RDS.2] RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります
[S3.1] S3 汎用バケットでは、パブリックアクセスのブロック設定が有効になっている必要があります
[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります
[S3.3] S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります
[S3.5] S3 汎用バケットには を使用するためのリクエストが必要です SSL
[S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります
〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません
〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager
〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT
