翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub コントロールのリファレンス
このコントロールリファレンスでは、使用可能な AWS Security Hub コントロールのリストと、各コントロールに関する詳細情報へのリンクを提供します。概要テーブルには、コントロールがコントロール ID のアルファベット順に表示されます。Security Hub でアクティブに使用されているコントロールのみがここに含まれています。廃止されたコントロールはこのリストから除外されます。このテーブルには、各コントロールの以下の情報が表示されます。
-
セキュリティコントロール ID – この ID は標準全体に適用され、コントロールが関連付けられている AWS のサービス とリソースを示します。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロール ID が表示されます。ただし、Security Hub の検出結果がセキュリティコントロール ID を参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロール ID はコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
セキュリティコントロールの自動化を設定するときは、タイトルや説明ではなく、コントロール ID に基づいてフィルタリングすることをお勧めします。Security Hub はコントロールのタイトルや説明を更新することがありますが、コントロール ID は変わりません。
コントロール ID は数字が飛ばされることがあります。これらは将来のコントロール用のプレースホルダーです。
-
適用される標準 — コントロールが適用される標準を示します。コントロールを選択すると、サードパーティのコンプライアンスフレームワークにおける特定の要件が表示されます。
-
セキュリティコントロールタイトル — このタイトルはあらゆる標準に適用されます。Security Hub コンソールには、アカウントで [統合されたコントロールの検出結果] が有効か無効かに関係なく、セキュリティコントロールタイトルが表示されます。ただし、Security Hub 検出結果がセキュリティコントロールタイトルを参照するのは、アカウントで [統合されたコントロールの検出結果] が有効になっている場合のみです。アカウントで [統合されたコントロールの検出結果] が無効になっている場合、一部のコントロールタイトルはコントロールの検出結果に含まれる標準によって異なります。標準固有のコントロール ID をセキュリティコントロール ID にマッピングする方法については、「統合がコントロール ID とタイトルに与える影響」を参照してください。
-
重要度 — コントロールの重要度は、セキュリティの観点からその重要性を示します。Security Hub がコントロールの重要度を決定する方法の詳細については、「コントロール結果への重要度の割り当て」を参照してください。
-
スケジュールタイプ — コントロールがいつ評価されるかを示します。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。
-
カスタムパラメータをサポート — コントロールが 1 つ以上のパラメータのカスタム値をサポートしているかどうかを示します。コントロールを選択すると、パラメータの詳細が表示されます。詳細については、「カスタムコントロールパラメータ」を参照してください。
詳細を表示するコントロールを選択します。コントロールはサービス名のアルファベット順にリストされています。
| セキュリティコントロール ID | セキュリティコントロールのタイトル | 適用される標準 | 緊急度 | カスタムパラメータをサポート | スケジュールタイプ |
|---|---|---|---|---|---|
| Account.1 | のセキュリティ連絡先情報を提供する必要があります AWS アカウント | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| Account.2 | AWS アカウント は AWS Organizations 組織の一部である必要があります | NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ACM.1 | インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によるトリガーと定期的なトリガー |
| ACM.2 | ACM が管理する RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります | AWS Foundational Security Best Practices v1.0.0 | HIGH | |
変更によってトリガーされる |
| ACM.3 | ACM 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| APIGateway.1 | API Gateway REST と WebSocket API 実行のログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| APIGateway.2 | API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| APIGateway.3 | API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| APIGateway.4 | API Gateway は、WAF ウェブ ACL に関連付けられている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| APIGateway.5 | API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| APIGateway.8 | API Gateway ルートには認証タイプを指定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| APIGateway.9 | API Gateway V2 ステージにアクセスログ記録を設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| AppSync.2 | AWS AppSync フィールドレベルのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0 | 中 | |
変更によってトリガーされる |
| AppSync.4 | AWS AppSync GraphQL APIsにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| AppSync.5 | AWS AppSync GraphQL APIs は API キーで認証しないでください | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| Athena.2 | Athena データカタログにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Athena.3 | Athena ワークグループにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| AutoScaling.1 | ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| AutoScaling.2 | Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| AutoScaling.3 | Auto Scaling グループの起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| Autoscaling.5 | Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| AutoScaling.6 | Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| AutoScaling.9 | EC2 Auto Scaling グループは EC2 起動テンプレートを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| AutoScaling.10 | EC2 Auto Scaling グループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Backup.1 | AWS Backup 復旧ポイントは保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| バックアップ.2 | AWS Backup 復旧ポイントにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| バックアップ.3 | AWS Backup ボールトにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| バックアップ.4 | AWS Backup レポートプランにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| バックアップ.5 | AWS Backup バックアッププランにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| CloudFormation.2 | CloudFormation スタックにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CloudFront.1 | CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
| CloudFront.3 | CloudFront ディストリビューションには転送中の暗号化が必要です | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.4 | CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CloudFront.5 | CloudFront ディストリビューションではログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.6 | CloudFront ディストリビューションでは WAF が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.7 | CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.8 | CloudFront ディストリビューションは SNI を使用して HTTPS リクエストを処理する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CloudFront.9 | CloudFront ディストリビューションはカスタムオリジンへのトラフィックを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.10 | CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間で非推奨の SSL プロトコルを使用しないでください。 | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| CloudFront.12 | CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしないでください | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| CloudFront.13 | CloudFront ディストリビューションはオリジンアクセスコントロールを使用する必要があります | AWS Foundational Security Best Practices v1.0.0 | 中 | |
変更によってトリガーされる |
| CloudFront.14 | CloudFront ディストリビューションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| CloudTrail.1 | CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| CloudTrail.2 | CloudTrail は保管時の暗号化を有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| CloudTrail.3 | 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります | PCI DSS v3.2.1 | HIGH | 定期的 | |
| CloudTrail.4 | CloudTrail ログファイルの検証を有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| CloudTrail.5 | CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| CloudTrail.6 | CloudTrail ログの保存に使用される S3 バケットがパブリックアクセス可能でないことを確認する | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 重大 | |
変更によるトリガーと定期的なトリガー |
| CloudTrail.7 | S3 バケットで CloudTrail S3 バケットアクセスのログ記録が有効になっていることを確認する | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudTrail.9 | CloudTrail 証跡にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| CloudWatch.1 | 「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.2 | 不正な API コールに対するログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0 | 低 | |
定期的 |
| CloudWatch.3 | MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0 | 低 | |
定期的 |
| CloudWatch.4 | MFA なしの IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します。 | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.5 | CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.6 | AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.7 | カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.8 | S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.9 | AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.10 | セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.11 | ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.12 | ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.13 | ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.14 | VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| CloudWatch.15 | CloudWatch アラームには、指定されたアクションが設定されている必要があります | NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| CloudWatch.16 | CloudWatch ロググループは、指定された期間保持する必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| CloudWatch.17 | CloudWatch アラームアクションを有効にする必要があります | NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| CodeArtifact.1 | CodeArtifact リポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| CodeBuild.1 | CodeBuild Bitbucket ソースリポジトリ URLsには機密認証情報を含めないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | 変更によってトリガーされる | |
| CodeBuild.2 | CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| CodeBuild.3 | CodeBuild S3 ログは暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| CodeBuild.4 | CodeBuild プロジェクト環境にはログ記録設定が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Config.1 | AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1 | 中 | 定期的 | |
| DataFirehose.1 | Firehose 配信ストリームは保管時に暗号化する必要があります | AWS Foundational Security Best Practices NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| Detective.1 | 検出動作グラフにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| DMS.1 | Database Migration Service のレプリケーションインスタンスは、パブリックではない必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| DMS.2 | DMS 証明書にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| DMS.3 | DMS イベントサブスクリプションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| DMS.4 | DMS レプリケーションインスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| DMS.5 | DMS レプリケーションサブネットグループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| DMS.6 | DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。 | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DMS.7 | ターゲットデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DMS.8 | ソースデータベースの DMS レプリケーションタスクでは、ログ記録が有効になっている必要があります。 | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DMS.9 | DMS エンドポイントは SSL を使用する必要があります。 | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DMS.10 | Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| DMS.11 | MongoDB の DMS エンドポイントでは、認証メカニズムを有効にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| DMS.12 | Redis の DMS エンドポイントでは TLS が有効になっている必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| DocumentDB.1 | Amazon DocumentDB クラスターは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| DocumentDB.2 | Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| DocumentDB.3 | Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| DocumentDB.4 | Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DocumentDB.5 | Amazon DocumentDB では、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DynamoDB.1 | DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| DynamoDB.2 | DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DynamoDB.3 | DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| DynamoDB.4 | DynamoDB テーブルはバックアッププランに含まれている必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| DynamoDB.5 | DynamoDB テーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| DynamoDB.6 | DynamoDB テーブルで、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| DynamoDB.7 | DynamoDB Accelerator クラスターは転送中に暗号化する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| EC2.1 | EBS スナップショットをパブリックに復元可能であってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| EC2.2 | VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.3 | アタッチされた EBS ボリュームは、保管時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.4 | 停止した EC2 インスタンスは、指定した期間後に削除する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EC2.6 | すべての VPC で VPC フローログ記録を有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EC2.7 | EBS のデフォルト暗号化を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EC2.8 | EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.9 | EC2 インスタンスは、パブリック IPv4 アドレスを未設定にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.10 | Amazon EC2 サービス用に作成された VPC エンドポイントを使用するように Amazon EC2 を設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EC2.12 | 未使用の EC2 EIP を削除する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EC2.13 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.14 | セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないでください | CIS AWS Foundations Benchmark v1.2.0 | HIGH | |
変更によってトリガーされる |
| EC2.15 | EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.16 | 未使用のネットワークアクセスコントロールリストを削除する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EC2.17 | EC2 インスタンスは複数の ENI を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EC2.18 | セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.19 | セキュリティグループは、リスクの高いポートへの無制限アクセスを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| EC2.20 | AWS Site-to-Site VPN 接続の両方の VPN トンネルが稼働している必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.21 | ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.22 | 未使用の EC2 セキュリティグループを削除する必要があります | サービスマネージドスタンダード: AWS Control Tower | 中 | 定期的 | |
| EC2.23 | EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け付けないようにする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.24 | EC2 準仮想化インスタンスタイプは使用しないでください | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EC2.25 | EC2 起動テンプレートはパブリック IP をネットワークインターフェイスに割り当ててはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EC2.28 | EBS ボリュームはバックアッププランに入っている必要があります | NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| EC2.33 | EC2 トランジットゲートウェイアタッチメントにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.34 | EC2 Transit Gateway ルートテーブルにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.35 | EC2 ネットワークインターフェイスにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.36 | EC2 カスタマーゲートウェイにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.37 | EC2 Elastic IP アドレスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.38 | EC2 インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.39 | EC2 インターネットゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.40 | EC2 NAT ゲートウェイにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.41 | EC2 ネットワーク ACLsタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.42 | EC2 ルートテーブルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.43 | EC2 セキュリティグループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.44 | EC2 サブネットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.45 | EC2 ボリュームにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.46 | Amazon VPCsにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.47 | Amazon VPC エンドポイントサービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.48 | Amazon VPC フローログにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.49 | Amazon VPC ピアリング接続にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.50 | EC2 VPN ゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.51 | EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EC2.52 | EC2 トランジットゲートウェイにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EC2.53 | EC2 セキュリティグループは、0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可しないでください | CIS AWS Foundations Benchmark v3.0.0 | HIGH | 定期的 | |
| EC2.54 | EC2 セキュリティグループは、::/0 からリモートサーバー管理ポートへの入力を許可しないでください | CIS AWS Foundations Benchmark v3.0.0 | HIGH | 定期的 | |
| ECR.1 | ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ECR.2 | ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ECR.3 | ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ECR.4 | ECR パブリックリポジトリにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| ECS.1 | Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ECS.2 | Amazon ECS サービスには、パブリック IP アドレスを自動で割り当てないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ECS.3 | ECS タスク定義では、ホストのプロセス名前空間を共有しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ECS.4 | ECS コンテナは、非特権として実行する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ECS.5 | ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ECS.8 | シークレットは、コンテナ環境の変数として渡さないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ECS.9 | ECS タスク定義にはログ設定が必要です。 | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ECS.10 | ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ECS.12 | ECS クラスターはコンテナインサイトを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ECS.13 | ECS サービスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| ECS.14 | ECS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| ECS.15 | ECS タスク定義にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EFS.1 | Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EFS.2 | Amazon EFS ボリュームは、バックアッププランに含める必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| EFS.3 | EFS アクセスポイントは、ルートディレクトリを適用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EFS.4 | EFS アクセスポイントは、ユーザー ID を適用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EFS .5 | EFS アクセスポイントにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| EFS .6 | EFS マウントターゲットをパブリックサブネットに関連付けるべきではありません | AWS 基本的なセキュリティのベストプラクティス | 中 | 定期的 | |
| EKS.1 | EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| EKS.2 | EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| EKS.3 | EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| EKS.6 | EKS クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EKS.7 | EKS ID プロバイダー設定にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EKS.8 | EKS クラスターでは、監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.1 | ElastiCache Redis クラスターでは自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ElastiCache.2 | ElastiCache for Redis キャッシュクラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ElastiCache.3 | ElastiCache レプリケーショングループで自動フェイルオーバーが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.4 | ElastiCache レプリケーショングループで encryption-at-rest が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.5 | ElastiCache レプリケーショングループで encryption-in-transit が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.6 | ElastiCache 以前の Redis バージョンのレプリケーショングループでは、Redis AUTH が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ElastiCache.7 | ElastiCache クラスターはデフォルトのサブネットグループを使用しないでください | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| ElasticBeanstalk.1 | Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| ElasticBeanstalk.2 | Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| ElasticBeanstalk.3 | Elastic Beanstalk はログを にストリーミングする必要があります CloudWatch | AWS Foundational Security Best Practices v1.0.0 | HIGH | |
変更によってトリガーされる |
| ELB.1 | Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ELB.2 | SSL/HTTPS リスナーを使用する Classic Load Balancer は、 AWS Certificate Manager によって提供される証明書を使用する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.3 | Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.4 | Application Load Balancer は、http ヘッダーを削除するように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.5 | アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.6 | Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| ELB.7 | Classic Load Balancer は、Connection Draining を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.8 | SSL リスナーを使用する Classic Load Balancer は、強力な設定を持つ事前定義されたセキュリティポリシーを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.9 | Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.10 | Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.12 | Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.13 | Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.14 | Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ELB.16 | Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| EMR.1 | Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| EMR.2 | Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| ES.1 | Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| ES.2 | Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| ES.3 | Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.4 | Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.5 | Elasticsearch ドメインで監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.6 | Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.7 | Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| ES.8 | Elasticsearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| ES.9 | Elasticsearch ドメインにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EventBridge.2 | EventBridge イベントバスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| EventBridge.3 | EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| EventBridge.4 | EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| FSx.1 | FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| FSx.2 | FSx for Lustre ファイルシステムは、タグをバックアップにコピーするように設定する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| Glue.1 | AWS Glue ジョブにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| GlobalAccelerator.1 | Global Accelerator アクセラレーターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| GuardDuty.1 | GuardDuty を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| GuardDuty.2 | GuardDuty フィルターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| GuardDuty.3 | GuardDuty IPSetsにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| GuardDuty.4 | GuardDuty ディテクターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| IAM.1 | IAM ポリシーでは、完全な「*」管理権限を許可してはなりません | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| IAM.2 | IAM ユーザーには IAM ポリシーをアタッチしてはなりません | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| IAM.3 | IAM ユーザーのアクセスキーは 90 日以内ごとに更新する必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.4 | IAM ルートユーザーのアクセスキーが存在してはいけません | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| IAM.5 | MFA は、コンソールパスワードを持つすべての IAM ユーザーに対して有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.6 | ルートユーザーに対してハードウェア MFA を有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| IAM.7 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.8 | 未使用の IAM ユーザー認証情報は削除する必要があります | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.9 | ルートユーザーに対して MFA を有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| IAM.10 | IAM ユーザーのパスワードポリシーには強力な設定が必要です | PCI DSS v3.2.1 | 中 | |
定期的 |
| IAM.11 | IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する | CIS AWS Foundations Benchmark v1.2.0 | 中 | |
定期的 |
| IAM.12 | IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する | CIS AWS Foundations Benchmark v1.2.0 | 中 | |
定期的 |
| IAM.13 | IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する | CIS AWS Foundations Benchmark v1.2.0 | 中 | |
定期的 |
| IAM.14 | IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する | CIS AWS Foundations Benchmark v1.2.0 | 中 | |
定期的 |
| IAM.15 | IAM パスワードポリシーにおいて、14 文字以上のパスワードが要求されるようにする | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 中 | |
定期的 |
| IAM.16 | IAM パスワードポリシーはパスワードの再使用を禁止しています | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| IAM.17 | IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する | CIS AWS Foundations Benchmark v1.2.0 | 低 | |
定期的 |
| IAM.18 | でインシデントを管理するためのサポートロールが作成されていることを確認します。 AWS Support | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 | 低 | |
定期的 |
| IAM.19 | すべての IAM ユーザーに対して MFA を有効にする必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| IAM.21 | 作成する IAM カスタマー管理ポリシーにはサービスのワイルドカードアクションを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| IAM.22 | 45 日間未使用の IAM ユーザー認証情報は削除する必要があります | CIS AWS Foundations Benchmark v1.4.0 | 中 | |
定期的 |
| IAM.23 | IAM Access Analyzer アナライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IAM.24 | IAM ロールにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IAM.25 | IAM ユーザーはタグ付けする必要があります | AWS リソースタグ付け標準 | 低 | 変更によってトリガーされる | |
| IAM.26 | IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります | CIS AWS Foundations Benchmark v3.0.0 | 中 | 定期的 | |
| IAM.27 | IAM ID には AWSCloudShellFullAccess ポリシーをアタッチしないでください | CIS AWS Foundations Benchmark v3.0.0 | 中 | 変更によってトリガーされる | |
| IAM.28 | IAM Access Analyzer の外部アクセスアナライザーを有効にする必要があります | CIS AWS Foundations Benchmark v3.0.0 | HIGH | 定期的 | |
| IoT.1 | AWS IoT Core セキュリティプロファイルにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| IoT.2 | AWS IoT Core 緩和アクションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| IoT.3 | AWS IoT Core ディメンションにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| IoT.4 | AWS IoT Core オーソライザーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| IoT.5 | AWS IoT Core ロールエイリアスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| IoT.6 | AWS IoT Core ポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Kinesis.1 | Kinesis Streams は、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Kinesis.2 | Kinesis ストリームにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| KMS.1 | IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| KMS.2 | IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用ないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| KMS.3 | AWS KMS keys 意図せずに削除しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| KMS.4 | AWS KMS key ローテーションを有効にする必要があります | CIS AWS Foundations Benchmark v1.2.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| Lambda.1 | Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| Lambda.2 | Lambda 関数はサポートされているランタイムを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Lambda.3 | Lambda 関数は VPC 内に存在する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Lambda.5 | VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Lambda.6 | Lambda 関数にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Macie.1 | Amazon Macie を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| Macie.2 | Macie 自動機密データ検出を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | HIGH | 定期的 | |
| MSK.1 | MSK クラスターはブローカーノード間の転送時に暗号化される必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| MSK.2 | MSK クラスターでは、拡張モニタリングを設定する必要があります | NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| MQ.2 | ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| MQ.3 | Amazon MQ ブローカーでは、マイナーバージョンの自動アップグレードを有効にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| MQ.4 | Amazon MQ ブローカーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| MQ.5 | ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります | NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 低 | |
変更によってトリガーされる |
| MQ.6 | RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。 | NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 低 | |
変更によってトリガーされる |
| Neptune.1 | Neptune DB クラスターは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.2 | Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.3 | Neptune DB クラスタースナップショットはパブリックにしないでください | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 重大 | |
変更によってトリガーされる |
| Neptune.4 | Neptune DB クラスターでは、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 低 | |
変更によってトリガーされる |
| Neptune.5 | Neptune DB クラスターでは、自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.6 | Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.7 | Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| Neptune.8 | Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 低 | |
変更によってトリガーされる |
| Neptune.9 | Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.1 | Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります | NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.2 | Network Firewall ログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| NetworkFirewall.3 | Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.4 | Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.5 | Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。 | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.6 | ステートレスネットワークファイアウォールのルールグループを空にしないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| NetworkFirewall.7 | Network Firewall ファイアウォールにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| NetworkFirewall.8 | Network Firewall ファイアウォールポリシーにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| NetworkFirewall.9 | Network Firewall は削除保護を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.1 | OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.2 | OpenSearch ドメインはパブリックアクセス可能であってはなりません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| Opensearch.3 | OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.4 | OpenSearch CloudWatch ログへのドメインエラーのログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.5 | OpenSearch ドメインでは監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.6 | OpenSearch ドメインには少なくとも 3 つのデータノードが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Opensearch.7 | OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| Opensearch.8 | OpenSearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| Opensearch.9 | OpenSearch ドメインにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Opensearch.10 | OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| Opensearch.11 | OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です | NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| PCA.1 | AWS Private CA ルート認証機関を無効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| RDS.1 | RDS スナップショットはプライベートである必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| RDS.2 | RDS DB インスタンスは、 PubliclyAccessible 設定によって決定されるパブリックアクセスを禁止する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| RDS.3 | RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.4 | RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.5 | RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.6 | RDS DB インスタンスの拡張モニタリングを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.7 | RDS クラスターでは、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.8 | RDS DB インスタンスで、削除保護が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.9 | RDS DB インスタンスはログを CloudWatch Logs に発行する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.10 | IAM 認証は RDS インスタンス用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.11 | Amazon RDS インスタンスでは、自動バックアップが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.12 | IAM 認証は RDS クラスター用に設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.13 | RDS 自動マイナーバージョンアップグレードを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| RDS.14 | Amazon Aurora クラスターはバックトラッキングを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.15 | RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.16 | タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.17 | RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.18 | RDS インスタンスは VPC 内にデプロイする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| RDS.19 | 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.20 | 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.21 | 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.22 | 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.23 | RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| RDS.24 | RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.25 | RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.26 | RDS DB インスタンスはバックアッププランで保護する必要があります | NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| RDS.27 | RDS DB クラスターは保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、サービスマネージドスタンダード: AWS Control Tower | 中 | |
変更によってトリガーされる |
| RDS.28 | RDS DB クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| RDS.29 | RDS DB クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| RDS.30 | RDS DB インスタンスにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| RDS.31 | RDS DB セキュリティグループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| RDS.32 | RDS DB スナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| RDS.33 | RDS DB サブネットグループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| RDS.34 | Aurora MySQL DB クラスターは監査ログを CloudWatch ログに発行する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| RDS.35 | RDS DB クラスターではマイナーバージョンの自動アップグレードを有効にしておく必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.1 | Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | |
変更によってトリガーされる |
| Redshift.2 | Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.3 | Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.4 | Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.6 | Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.7 | Redshift クラスターは拡張 VPC ルーティングを使用する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.8 | Amazon Redshift クラスターでデフォルトの管理者ユーザー名を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.9 | Redshift クラスターでは、デフォルトのデータベース名を使用しないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.10 | Redshift クラスターは保存時に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| Redshift.11 | Redshift クラスターにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Redshift.12 | Redshift イベントサブスクリプション通知にはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Redshift.13 | Redshift クラスタースナップショットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Redshift.14 | Redshift クラスターサブネットグループにタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Redshift.15 | Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの進入を許可する必要があります | AWS 基本的なセキュリティのベストプラクティス | HIGH | 定期的 | |
| Route53.1 | Route 53 ヘルスチェックにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Route53.2 | Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| S3.1 | S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| S3.2 | S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | 変更によるトリガーと定期的なトリガー | |
| S3.3 | S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 重大 | 変更によるトリガーと定期的なトリガー | |
| S3.5 | S3 汎用バケットでは、SSL の使用をリクエストする必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.6 | S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
| S3.7 | S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.8 | S3 汎用バケットはパブリックアクセスをブロックする必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | HIGH | 変更によってトリガーされる | |
| S3.9 | S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要があります | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.10 | バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.11 | S3 汎用バケットでは、イベント通知を有効にする必要があります | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.12 | ACLs は、S3 汎用バケットへのユーザーアクセスを管理するために使用しないでください | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.13 | S3 汎用バケットにはライフサイクル設定が必要です | AWS Foundational Security Best Practices、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.14 | S3 汎用バケットではバージョニングを有効にする必要があります | NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.15 | S3 汎用バケットでは、オブジェクトロックを有効にする必要があります | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.17 | S3 汎用バケットは、保管時に で暗号化する必要があります AWS KMS keys | サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| S3.19 | S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 重大 | 変更によってトリガーされる | |
| S3.20 | S3 汎用バケットでは MFA 削除が有効になっている必要があります | CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 低 | 変更によってトリガーされる | |
| S3.22 | S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v3.0.0 | 中 | 定期的 | |
| S3.23 | S3 汎用バケットは、オブジェクトレベルの読み取りイベントをログに記録する必要があります | CIS AWS Foundations Benchmark v3.0.0 | 中 | 定期的 | |
| SageMaker.1 | Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | HIGH | |
定期的 |
| SageMaker.2 | SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| SageMaker.3 | ユーザーは SageMaker ノートブックインスタンスへのルートアクセスを禁止されます | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| SageMaker.4 | SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きい必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| SecretsManager.1 | Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| SecretsManager.2 | 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| SecretsManager.3 | 未使用の Secrets Manager のシークレットを削除します | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| SecretsManager.4 | Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| SecretsManager.5 | Secrets Manager のシークレットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| ServiceCatalog.1 | Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | HIGH | 定期的 | |
| SES.1 | SES 連絡先リストにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| SES.2 | SES 設定セットにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| SNS.1 | SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS | NIST SP 800-53 Rev. 5 | 中 | 変更によってトリガーされる | |
| SNS.3 | SNS トピックにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| SQS.1 | Amazon SQS キューは保管中に暗号化する必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| SQS.2 | SQS キューにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| SSM.1 | EC2 インスタンスは によって管理する必要があります AWS Systems Manager | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| SSM.2 | Systems Manager によって管理される EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | HIGH | |
変更によってトリガーされる |
| SSM.3 | Systems Manager によって管理される EC2 インスタンスの関連付けコンプライアンスステータスは、COMPLIANT である必要があります | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
変更によってトリガーされる |
| SSM.4 | SSM ドキュメントはパブリックにしないでください | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 重大 | |
定期的 |
| StepFunctions.1 | Step Functions ステートマシンでは、ログ記録がオンになっている必要があります | AWS 基本的なセキュリティのベストプラクティス | 中 | |
変更によってトリガーされる |
| StepFunctions.2 | Step Functions アクティビティにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Transfer.1 | Transfer Family ワークフローにはタグを付ける必要があります | AWS リソースタグ付け標準 | 低 | あり | 変更によってトリガーされる |
| Transfer.2 | Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください | AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | 中 | 定期的 | |
| WAF.1 | AWS WAF Classic グローバルウェブ ACL ログ記録を有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
定期的 |
| WAF.2 | AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.3 | AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.4 | AWS WAF Classic リージョンウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.6 | AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.7 | AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.8 | AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.10 | AWS WAF ウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です | AWS Foundational Security Best Practices v1.0.0、サービスマネージドスタンダード: AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
| WAF.11 | AWS WAF ウェブ ACL ログ記録を有効にする必要があります | NIST SP 800-53 Rev. 5 | 低 | |
定期的 |
| WAF.12 | AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります | AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
変更によってトリガーされる |
トピック
- AWS アカウント コントロール
- AWS Certificate Manager コントロール
- Amazon API Gateway コントロール
- AWS AppSync コントロール
- Amazon Athena コントロール
- AWS Backup コントロール
- AWS CloudFormation コントロール
- Amazon CloudFront コントロール
- AWS CloudTrail コントロール
- Amazon CloudWatch コントロール
- AWS CodeArtifact コントロール
- AWS CodeBuild コントロール
- AWS Config コントロール
- Amazon Data Firehose コントロール
- Amazon Detective コントロール
- AWS Database Migration Service コントロール
- Amazon DocumentDB コントロール
- Amazon DynamoDB コントロール
- Amazon Elastic Container Registry のコントロール
- Amazon ECS コントロール
- Amazon Elastic Compute Cloud コントロール
- Amazon EC2 Auto Scaling コントロール
- Amazon EC2 Systems Manager コントロール
- Amazon Elastic File System のコントロール
- Amazon Elastic Kubernetes Service コントロール
- Amazon ElastiCache コントロール
- AWS Elastic Beanstalk コントロール
- Elastic Load Balancing のコントロール
- Amazon EMR コントロール
- Elasticsearch コントロール
- Amazon EventBridge コントロール
- Amazon FSx コントロール
- AWS Global Accelerator コントロール
- AWS Glue コントロール
- Amazon GuardDuty コントロール
- AWS Identity and Access Management コントロール
- AWS IoT コントロール
- Amazon Kinesis のコントロール
- AWS Key Management Service コントロール
- AWS Lambda コントロール
- Amazon Macie コントロール
- Amazon MSK コントロール
- Amazon MQ コントロール
- Amazon Neptune コントロール
- AWS Network Firewall コントロール
- Amazon OpenSearch Service コントロール
- AWS Private Certificate Authority コントロール
- Amazon Relational Database Service コントロール
- Amazon Redshift のコントロール
- Amazon Route 53 のコントロール
- Amazon Simple Storage Service コントロール
- Amazon SageMaker コントロール
- AWS Secrets Manager コントロール
- AWS Service Catalog コントロール
- Amazon Simple Email Service コントロール
- Amazon Simple Notification Service コントロール
- Amazon Simple Queue Service コントロール
- AWS Step Functions コントロール
- AWS Transfer Family コントロール
- AWS WAF コントロール
