

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM の NIST SP 800-171 Revision 2
<a name="standards-reference-nist-800-171"></a>

NIST Special Publication 800-171 Revision 2 (NIST SP 800-171 Rev. 2) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、米国連邦政府の一部ではないシステムや組織で、管理対象未分類情報の機密性を保護するための推奨セキュリティ要件を提供します。*CUI* とも呼ばれる*管理対象未分類情報*は、政府の分類基準を満たしていないが保護する必要がある機密情報です。これは機密情報と見なされ、米国連邦政府、または米国連邦政府に代わって行動する他の組織によって作成または保有される情報です。

NIST SP 800-171 Rev. 2 は、以下の場合に CUI の機密性を保護するための推奨セキュリティ要件を提供します。
+ 情報が連邦政府以外のシステムや組織内に存在している場合。
+ 連邦政府以外の組織が連邦機関に代わって情報を収集・保持していない、または機関に代わってシステムを使用・運用していない場合。
+ CUI レジストリに記載された CUI カテゴリに対し、その機密性を保護するための具体的な保護要件が、関連する法律、規制、または政府全体のポリシーで規定されていない場合。

要件は、CUI を処理、保存、送信する、またはそれらのコンポーネントに対してセキュリティ保護を提供する、非連邦のシステムおよび組織のすべてのコンポーネントに適用されます。詳細については、「*NIST Computer Security Resource Center*」の「[NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)」を参照してください。

AWS Security Hub CSPM は、NIST SP 800-171 Revision 2 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス および リソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-171 Revision 2 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-171 Revision 2 の要件をサポートしていないことに注意してください。

**Topics**
+ [標準のリソース記録の設定](#standards-reference-nist-800-171-recording)
+ [標準に適用されるコントロールの特定](#standards-reference-nist-800-171-controls)

## 標準に適用されるコントロールのリソース記録の設定
<a name="standards-reference-nist-800-171-recording"></a>

検出結果の範囲と精度を最適化するには、 AWS Security Hub CSPM で NIST SP 800-171 Revision 2 標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。

Security Hub CSPM が でリソース記録を使用する方法については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。でのリソース記録の設定については AWS Config、「 *AWS Config デベロッパーガイド*[」の「設定レコーダーの使用](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。

次の表は、Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されるコントロールに記録するリソースのタイプを示しています。


| AWS のサービス | リソースタイプ: | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notiﬁcation Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## 標準に適用されるコントロールの特定
<a name="standards-reference-nist-800-171-controls"></a>

次のリストは、NIST SP 800-171 Revision 2 の要件をサポートするコントロールを指定し、 AWS Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されます。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の**関連要件**フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。
+ [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
+ [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)
+ [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10)
+ [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
+ [[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)
+ [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18)
+ [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19)
+ [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20)
+ [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
+ [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)
+ [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)
+ [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\*」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)
+ [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
+ [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
+ [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
+ [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
+ [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
+ [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
+ [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2)
+ [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
+ [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)
+ [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)
+ [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11)
+ [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14)
+ [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
+ [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12)