翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Secrets Manager の Security Hub CSPM コントロール
これらの AWS Security Hub CSPM コントロールは、 AWS Secrets Manager サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。
## [SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります
**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9
**カテゴリ:** 保護 > セキュアな開発
**重要度:** 中
**リソースタイプ :** `AWS::SecretsManager::Secret`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `maximumAllowedRotationFrequency` | シークレットローテーション頻度の許容最大日数 | 整数 | `1`~`365` | デフォルト値なし |
このコントロール AWS Secrets Manager は、 に保存されているシークレットが自動ローテーションで設定されているかどうかを確認します。シークレットが自動ローテーションで構成されていない場合、コントロールは失敗します。`maximumAllowedRotationFrequency` パラメータにカスタム値を指定したときは、指定された時間帯内にシークレットが自動的にローテーションされた場合にのみコントロールが成功します。
Secrets Manager は、組織のセキュリティ体制を向上するのに役立ちます。シークレットとは、データベース認証情報、パスワード、サードパーティーの API キーなどが含まれます。Secrets Manager を使用することで、シークレットを一元的に保存、シークレットの自動暗号化、シークレットへのアクセスコントロール、シークレットを安全かつ自動的にローテーションすることができます。
Secrets Manager はシークレットをローテーションできます。ローテーションを使用して、長期のシークレットを短期のシークレッに置き換えることができます。シークレットをローテーションすることで、権限のないユーザーが侵害されたシークレットを使用できる期間を制限することができます。このため、シークレットは頻繁にローテーションする必要があります。ローテーションの詳細については、「 *AWS Secrets Manager ユーザーガイド*」の「シー[AWS Secrets Manager クレットのローテーション](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)」を参照してください。
### 修正
Secrets Manager シークレットの自動ローテーションを有効にするには、「 *AWS Secrets Manager ユーザーガイド*」の[「コンソールを使用してシーク AWS Secrets Manager レットの自動ローテーションを設定する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)」を参照してください。ローテーションする AWS Lambda 関数を選択して設定する必要があります。
## [SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります
**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9
**カテゴリ:** 保護 > セキュアな開発
**重要度:** 中
**リソースタイプ :** `AWS::SecretsManager::Secret`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)
**スケジュールタイプ:** 変更がトリガーされた場合
**パラメータ :** なし
このコントロールは、ローテーションスケジュールに基づいて AWS Secrets Manager シークレットが正常にローテーションされたかどうかをチェックします。`RotationOccurringAsScheduled` が `false` の場合、コントロールは失敗します。コントロールは、ローテーションがオンになっているシークレットのみを評価します。
Secrets Manager は、組織のセキュリティ体制を向上するのに役立ちます。シークレットとは、データベース認証情報、パスワード、サードパーティーの API キーなどが含まれます。Secrets Manager を使用することで、シークレットを一元的に保存、シークレットの自動暗号化、シークレットへのアクセスコントロール、シークレットを安全かつ自動的にローテーションすることができます。
Secrets Manager はシークレットをローテーションできます。ローテーションを使用して、長期のシークレットを短期のシークレッに置き換えることができます。シークレットをローテーションすることで、権限のないユーザーが侵害されたシークレットを使用できる期間を制限することができます。このため、シークレットは頻繁にローテーションする必要があります。
シークレットが自動的にローテーションされるように設定することに加えて、これらのシークレットがローテーションスケジュールに基づいて正常にローテーションするように設定する必要があります。
ローテーションの詳細については、「AWS Secrets Manager ユーザーガイド」の「[AWS Secrets Manager シークレットのローテーション](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)」を参照してください。
### 修正
自動ローテーションが失敗した場合、Secrets Manager の設定でエラーが発生している可能性があります。Secrets Manager でシークレットをローテーションさせるには、シークレットを所有するデータベースまたはサービスとの対話方法を定義する Lambda 関数を使用する必要があります。
シークレットのローテーションに関連する一般的なエラーの診断と修正については、*AWS Secrets Manager 「 ユーザーガイド*」の「シーク[レットの AWS Secrets Manager ローテーションのトラブルシューティング](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html)」を参照してください。
## [SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します
**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)
**カテゴリ:** 保護 > セキュアなアクセス管理
**重要度:** 中
**リソースタイプ :** `AWS::SecretsManager::Secret`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)
**スケジュールタイプ :** 定期的
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `unusedForDays` | シークレットを未使用のままにできる最大日数 | 整数 | `1`~`365` | `90` |
このコントロールは、シー AWS Secrets Manager クレットが指定された期間内にアクセスされたかどうかを確認します。指定された時間枠を過ぎてもシークレットが使用されない場合、コントロールは失敗します。アクセス期間のカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 90 日を使用します。
未使用のシークレットを削除することは、シークレットをローテーションするのと同様に重要です。未使用のシークレットは、これらのシークレットにアクセスする必要のない以前のユーザーによって悪用される可能性があります。また、より多くのユーザーがシークレットへのアクセスすると、誰かが誤って処理して権限のないエンティティに漏洩する可能性があるため、不正使用のリスクが高まります。未使用のシークレットを削除することで、必要としないユーザーからのシークレットへのアクセスを取り消すことができます。また、Secrets Manager の使用コスト削減にも役立ちます。したがって、未使用のシークレットを定期的に削除することが不可欠です。
### 修正
非アクティブな Secrets Manager シークレットを削除するには、*AWS Secrets Manager 「 ユーザーガイド*」の「 [AWS Secrets Manager シークレットの削除](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html)」を参照してください。
## [SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります
**関連する要件:** NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9
**カテゴリ:** 保護 > セキュアなアクセス管理
**重要度:** 中
**リソースタイプ :** `AWS::SecretsManager::Secret`
**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)
**スケジュールタイプ :** 定期的
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| `maxDaysSinceRotation` | シークレットを未変更のままにできる最大日数 | 整数 | `1`~`180` | `90` |
このコントロールは、シー AWS Secrets Manager クレットが指定された期間内に少なくとも 1 回ローテーションされているかどうかをチェックします。シークレットを少なくともこの頻度でローテーションしないと、コントロールは失敗します。ローテーション期間にカスタムパラメータ値を指定しない限り、Security Hub CSPM はデフォルト値の 90 日を使用します。
シークレットをローテーションすることで、 AWS アカウントでユーザーのシークレットが不正に使用されるリスクを減らすのに役立ちます。例えば、データベース認証情報、パスワード、サードパーティーの API キーおよび任意のテキストなどがあります。シークレットを長期間変更しない場合、シークレットが侵害される可能性が高くなります。
より多くのユーザーがシークレットへのアクセスすると、誰かが操作を誤り、権限のないエンティティに漏洩する可能性があります。シークレットは、ログとキャッシュデータを介して漏洩する可能性があります。これらはデバッグ目的で共有でき、デバッグ完了後に変更または取り消されることはありません。これらすべての理由から、シークレットは頻繁にローテーションする必要があります。
AWS Secrets Managerでシークレットの自動ローテーションを設定できます。自動ローテーションにより、長期のシークレットを短期のシークレットに置き換えることが可能となり、侵害されるリスクを大幅に減少させるのに役立ちます。 Secrets Manager のシークレットの自動ローテーションを設定することをお勧めします。詳細については、「AWS Secrets Manager ユーザーガイド」の「[AWS Secrets Manager シークレットのローテーション](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)」を参照してください。
### 修正
Secrets Manager シークレットの自動ローテーションを有効にするには、「 *AWS Secrets Manager ユーザーガイド*」の[「コンソールを使用してシーク AWS Secrets Manager レットの自動ローテーションを設定する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)」を参照してください。ローテーションする AWS Lambda 関数を選択して設定する必要があります。
## [SecretsManager.5] Secrets Manager のシークレットにはタグを付ける必要があります
**カテゴリ:** 識別 > インベントリ > タグ付け
**重要度:** 低
**リソースタイプ :** `AWS::SecretsManager::Secret`
**AWS Config rule:** `tagged-secretsmanager-secret` (カスタム Security Hub CSPM ルール)
**スケジュールタイプ :** 変更がトリガーされた場合
**パラメータ :**
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1~6 個のタグキー。 | No default value |
このコントロールは、 AWS Secrets Manager シークレットにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。シークレットにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、シークレットにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。
タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
**注記**
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。
### 修正
Secrets Manager シークレットにタグを追加するには、*AWS Secrets Manager *「 ユーザーガイド」の「タグシーク[AWS Secrets Manager レット](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)」を参照してください。