翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon SNS の Security Hub CSPM コントロール
<a name="sns-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Simple Notification Service (Amazon SNS) サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS
<a name="sns-1"></a>

**関連する要件:** NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.11、NIST.800-171.r2 3.13.16

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SNS トピックが AWS Key Management Service (AWS KMS) に管理されているキーを使用して保管中に暗号化されているかどうかをチェックします。SNS トピックがサーバー側の暗号化 (SSE) に KMS キーを使用しない場合、コントロールは失敗します。デフォルトでは、SNS はディスク暗号化を使用してメッセージとファイルを保存します。このコントロールに合格するには、代わりに暗号化に KMS キーを使用する必要があります。これにより、セキュリティレイヤーが追加され、アクセスコントロールの柔軟性が向上します。

保管中のデータを暗号化することで、ディスクに保存されているデータが認証されていないユーザーがアクセスするリスクが軽減されます AWS。データを読み取る前にデータを復号化するには、API の許可が必要です。セキュリティを強化するために、SNS トピックを KMS キーで暗号化することをお勧めします。

### 修正
<a name="sns-1-remediation"></a>

SNS トピックで SSE を有効にするには、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS トピックのサーバー側の暗号化 (SSE) を有効にする](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html)」を参照してください。SSE を使用する前に、トピックの暗号化とメッセージの暗号化と復号を許可する AWS KMS key ポリシーも設定する必要があります。詳細については、*Amazon Simple Notification Service デベロッパーガイド*の[AWS KMS 「アクセス許可の設定](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse)」を参照してください。

## [SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります
<a name="sns-2"></a>

**重要**  
Security Hub CSPM は、2024 年 4 月にこのコントロールを廃止しました。詳細については、「[Security Hub CSPM コントロールの変更ログ](controls-change-log.md)」を参照してください。

**関連する要件:** NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、エンドポイントの Amazon SNS トピックに送信される通知メッセージの配信ステータスで、ログ記録が有効になっているかどうかをチェックします。メッセージの配信ステータス通知が有効になっていない場合、このコントロールは失敗します。

ログ記録は、サービスの信頼性、可用性、パフォーマンスを維持するための重要な要素です。メッセージの配信ステータスをログ記録することで、以下のようなオペレーション上のインサイトを得ることができます。
+ メッセージが Amazon SNS エンドポイントに配信されたかどうかを知ることができます。
+ Amazon SNS エンドポイントから Amazon SNS に送信された応答を識別します。
+ メッセージの滞留時間 (メッセージの発行から Amazon SNS エンドポイントに渡されるまでの時間) を決定する。

### 修正
<a name="sns-2-remediation"></a>

トピックの配信ステータスロギングを設定する方法については、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS メッセージ配信ステータス](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)」を参照してください。

## [SNS.3] SNS トピックにはタグを付ける必要があります
<a name="sns-3"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config rule:** `tagged-sns-topic` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、Amazon SNS トピックにパラメータ `requiredTagKeys` で定義された特定のキーを含むタグがあるかどうかをチェックします。トピックにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トピックにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="sns-3-remediation"></a>

SNS トピックにタグを追加するには、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNS トピックタグの設定](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html)」を参照してください。

## [SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください
<a name="sns-4"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 非常事態

**リソースタイプ :** `AWS::SNS::Topic`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、Amazon SNS トピックアクセスポリシーがパブリックアクセスを許可するかどうかを確認します。SNS トピックアクセスポリシーでパブリックアクセスが許可されている場合、このコントロールは失敗します。

特定のトピックに関連付ける Amazon SNS アクセスポリシーにより、そのトピックを操作できるユーザー (トピックにメッセージを発行できるユーザーまたはサブスクライブできるユーザーなど) を制限できます。SNS ポリシーは AWS アカウント、他のユーザー、または独自の 内のユーザーにアクセス権を付与できます AWS アカウント。トピックポリシーの `Principal` フィールドにワイルドカード (\$1) を指定し、トピックポリシーを制限する条件がないと、攻撃者によるデータの流出、サービス拒否、またはサービスへの望ましくないメッセージの挿入につながる可能性があります。

**注記**  
このコントロールはワイルドカード文字または変数を使用するポリシー条件を評価しません。`PASSED` 検出結果を生成するには、トピックの Amazon SNS アクセスポリシーの条件は固定値のみを使用する必要があります。固定値は、ワイルドカード文字やポリシー変数を含まない値です。ポリシー変数に関する詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[変数およびタグ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)」を参照してください。

### 修正
<a name="sns-4-remediation"></a>

SNS トピックのアクセスポリシーを更新するには、「*Amazon Simple Notification Service デベロッパーガイド*」の「[Amazon SNSでのアクセス管理の概要](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html)」を参照してください。