翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM の NIST SP 800-53 Revision 5
NIST Special Publication 800-53 Revision 5 (NIST SP 800-53 Rev. 5) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、情報システムと重要なリソースの機密性、完全性、可用性を保護するためのセキュリティ要件とプライバシー要件のカタログを提供します。米国連邦政府機関と請負業者は、システムや組織を保護するために、これらの要件に従う必要があります。プライベート組織は、サイバーセキュリティリスクを軽減するための指針となるフレームワークとして、要件を自主的に使用することもできます。このフレームワークとその要件の詳細については、「*NIST コンピューターセキュリティリソースセンター*」の「[NIST SP 800-53 Rev.5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)」を参照してください。
AWS Security Hub CSPM は、NIST SP 800-53 Revision 5 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス および リソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-53 Revision 5 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-53 Revision 5 の要件をサポートしていないことに注意してください。
他のフレームワークとは異なり、NIST SP 800-53 Revision 5 フレームワークは、その要件をどのように評価すべきかについて、指示を与えるものではありません。代わりに、フレームワークはガイドラインを提供します。Security Hub CSPM では、NIST SP 800-53 Revision 5 の標準とコントロールは、これらのガイドラインに対する本サービスの解釈を表しています。
**Topics**
+ [標準のリソース記録の設定](#standards-reference-nist-800-53-recording)
+ [標準に適用されるコントロールの特定](#standards-reference-nist-800-53-controls)
## 標準に適用されるコントロールのリソース記録の設定
検出結果の範囲と精度を最適化するには、 AWS Security Hub CSPM で NIST SP 800-53 Revision 5 標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。これは主に、*変更によってトリガーされる*スケジュールタイプを持つコントロール用です。ただし、*定期的な*スケジュールタイプの一部のコントロールでは、リソースの記録も必要です。リソースの記録が有効になっていない、または正しく設定されていない場合、Security Hub CSPM は適切なリソースを評価できず、標準に適用されるコントロールに対して正確な検出結果を生成できない可能性があります。
Security Hub CSPM が でリソース記録を使用する方法については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。でのリソース記録の設定については AWS Config、「 *AWS Config デベロッパーガイド*[」の「設定レコーダーの使用](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。
次の表は、Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されるコントロールに記録するリソースのタイプを示しています。
| AWS のサービス | リソースタイプ: |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## 標準に適用されるコントロールの特定
次のリストは、NIST SP 800-53 Revision 5 の要件をサポートするコントロールを指定し、 AWS Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されます。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の**関連要件**フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。
+ [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
+ [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2)
+ [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
+ [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4)
+ [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
+ [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1)
+ [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6)
+ [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7)
+ [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8)
+ [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9)
+ [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12)
+ [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Amazon EBS スナップショットをパブリックに復元可能に設定しないでください](ec2-controls.md#ec2-1)
+ [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
+ [[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします](ec2-controls.md#ec2-3)
+ [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4)
+ [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
+ [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
+ [[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
+ [[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10)
+ [[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします](ec2-controls.md#ec2-12)
+ [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
+ [[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15)
+ [[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)
+ [[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします](ec2-controls.md#ec2-17)
+ [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18)
+ [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19)
+ [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20)
+ [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
+ [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23)
+ [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25)
+ [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28)
+ [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)
+ [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55)
+ [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56)
+ [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57)
+ [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58)
+ [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60)
+ [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3)
+ [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。](ecs-controls.md#ecs-1)
+ [[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2)
+ [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5)
+ [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12)
+ [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17)
+ [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2)
+ [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3)
+ [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4)
+ [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6)
+ [[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1)
+ [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)
+ [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3)
+ [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8)
+ [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1)
+ [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)
+ [[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4)
+ [[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります](elb-controls.md#elb-5)
+ [[ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります](elb-controls.md#elb-6)
+ [[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります](elb-controls.md#elb-7)
+ [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)
+ [[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります](elb-controls.md#elb-9)
+ [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12)
+ [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13)
+ [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14)
+ [[ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります](elb-controls.md#elb-16)
+ [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17)
+ [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1)
+ [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4)
+ [[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1)
+ [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)
+ [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3)
+ [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4)
+ [[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5)
+ [[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です](es-controls.md#es-6)
+ [[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。](es-controls.md#es-7)
+ [[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8)
+ [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2)
+ [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\*」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
+ [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
+ [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
+ [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1)
+ [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1)
+ [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2)
+ [[KMS.3] AWS KMS keys を意図せずに削除しないでください](kms-controls.md#kms-3)
+ [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
+ [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1)
+ [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)
+ [[Lambda.3] Lambda 関数は VPC 内に存在する必要があります](lambda-controls.md#lambda-3)
+ [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1)
+ [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2)
+ [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1)
+ [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2)
+ [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2)
+ [[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3)
+ [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6)
+ [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5)
+ [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7)
+ [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2)
+ [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8)
+ [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11)
+ [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1)
+ [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1)
+ [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
+ [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
+ [[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります](rds-controls.md#rds-4)
+ [[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5)
+ [[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります](rds-controls.md#rds-6)
+ [[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります](rds-controls.md#rds-7)
+ [[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります](rds-controls.md#rds-8)
+ [[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9)
+ [[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります](rds-controls.md#rds-10)
+ [[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります](rds-controls.md#rds-11)
+ [[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります](rds-controls.md#rds-12)
+ [[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
+ [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14)
+ [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15)
+ [[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16)
+ [[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります](rds-controls.md#rds-17)
+ [[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-19)
+ [[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20)
+ [[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21)
+ [[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22)
+ [[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります](rds-controls.md#rds-23)
+ [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24)
+ [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25)
+ [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26)
+ [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27)
+ [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34)
+ [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35)
+ [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40)
+ [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42)
+ [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45)
+ [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1)
+ [[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2)
+ [[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3)
+ [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6)
+ [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)
+ [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
+ [[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2)
+ [[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3)
+ [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
+ [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)
+ [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7)
+ [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
+ [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)
+ [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10)
+ [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11)
+ [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12)
+ [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13)
+ [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14)
+ [[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります](s3-controls.md#s3-15)
+ [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19)
+ [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
+ [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1)
+ [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
+ [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4)
+ [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3)
+ [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10)
+ [[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11)
+ [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12)