翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM のセキュリティ標準を理解する
AWS Security Hub CSPM では、*セキュリティ標準*は規制フレームワーク、業界のベストプラクティス、または企業ポリシーに基づく一連の要件です。それぞれに適用されるセキュリティコントロールなど、Security Hub CSPM が現在サポートしている標準の詳細については、「[Security Hub CSPM 標準リファレンス](standards-reference.md)」を参照してください。
標準を有効にすると、Security Hub CSPM は、その標準に適用されるすべてのコントロールを自動的に有効化します。次に、Security Hub CSPM はコントロールに対してセキュリティチェックを実行し、Security Hub CSPM の検出結果を生成します。必要に応じて、個々のコントロールを無効化したり、後ほど再有効化したりできます。標準を完全に無効化することもできます。標準を無効にすると、Security Hub CSPM はその標準に適用されるコントロールに対するセキュリティチェックの実行を停止します。コントロールの検出結果は生成されなくなります。
Security Hub CSPM は、検出結果に加えて、有効にした標準ごとにセキュリティスコアを生成します。スコアは、標準に適用されるコントロールのステータスに基づきます。集約リージョンを設定すると、標準のセキュリティスコアは、リンクされているすべてのリージョンにおけるコントロールの状態を反映します。組織の Security Hub CSPM 管理者である場合、スコアには組織内のすべてのアカウントのコントロールのステータスが反映されます。詳細については、「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。
標準を確認および管理するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。コンソールでは、**[セキュリティ標準]** ページに Security Hub CSPM が現在サポートしているすべてのセキュリティ標準が表示されます。これには、各標準の説明と標準の現在のステータスが含まれます。標準を有効にすると、このページを使用して標準の追加の詳細にアクセスすることもできます。たとえば、以下を確認できます。
+ 標準の現在のセキュリティスコア。
+ 標準に適用されるコントロールの集計統計。
+ 各コントロールのコンプライアンスステータスなど、標準に適用され、現在有効になっているコントロールのリスト。
+ 標準に適用されているが、現在無効になっているコントロールのリスト。
より詳細な分析を行うには、データをフィルタリングしてソートし、ドリルダウンして標準に適用される個々のコントロールの詳細を確認することができます。
1 つのアカウントと で標準を個別に有効にできます AWS リージョン。ただし、マルチアカウント環境およびマルチリージョン環境での時間を節約して設定ドリフトを削減するには、[中央設定](central-configuration-intro.md)を使用し、標準を有効にして管理することをお勧めします。中央設定では、委任された Security Hub CSPM 管理者は、複数のアカウントとリージョンで標準を設定する方法を指定するポリシーを作成できます。
**Topics**
+ [標準リファレンス](standards-reference.md)
+ [標準を有効にする](enable-standards.md)
+ [標準の詳細の確認](securityhub-standards-view-controls.md)
+ [自動有効化標準を無効にする](securityhub-auto-enabled-standards.md)
+ [セキュリティ標準の無効化](disable-standards.md)
# Security Hub CSPM 標準リファレンス
AWS Security Hub CSPM では、*セキュリティ標準*は規制フレームワーク、業界のベストプラクティス、または企業ポリシーに基づく一連の要件です。Security Hub CSPM は、これらの要件をコントロールにマッピングし、コントロールに対するセキュリティチェックを実行して、標準の要件が満たされているかどうかを評価します。それぞれの標準には複数のコントロールが含まれています。
Security Hub CSPM は現在、次の標準をサポートしています。
+ **AWS 基本的なセキュリティのベストプラクティス** – AWS および業界の専門家によって開発されたこの標準は、セクターや規模に関係なく、組織のセキュリティのベストプラクティスをまとめたものです。 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールを提供します。セキュリティ体制を改善および維持する方法について、規範的なガイダンスを提供します。
+ **AWS リソースのタグ付け** – Security Hub CSPM によって開発されたこの標準は、 AWS リソースにタグがあるかどうかを判断するのに役立ちます。*タグ*は、 AWS リソースのメタデータとして機能するキーと値のペアです。タグは、 AWS リソースの特定、分類、管理、検索に役立ちます。例えば、タグを使用して目的、所有者、環境などに基づいてリソースを分類できます。
+ **CIS AWS Foundations Benchmark** – Center for Internet Security (CIS) によって開発されたこの標準は、安全な設定ガイドラインを提供します AWS。基盤設定、テスト可能設定、アーキテクチャに依存しない設定に重点を置いて、 AWS のサービス および リソースのサブセットのセキュリティ設定ガイドラインとベストプラクティスのセットを指定します。ガイドラインには、明確でステップバイステップの実装と評価の手順が含まれています。
+ **NIST SP 800-53 Revision 5** – この標準は、情報システムと重要なリソースの機密性、完全性、可用性を保護するための米国国立標準技術研究所 (NIST) の要件に準拠しています。関連するフレームワークは、通常、米国の連邦機関、または米国の連邦機関や情報システムと連携する組織に適用されます。ただし、民間組織は要件をガイドフレームワークとして使用することもできます。
+ **NIST SP 800-171 Revision 2** – この標準は、米国連邦政府の一部ではないシステムや組織で管理された未分類情報 (CUI) の機密性を保護するための NIST セキュリティの推奨事項と要件に準拠しています。*CUI* は、政府の分類基準を満たしていないものの、機密と見なされ、米国連邦政府または米国連邦政府に代わって他の団体によって作成または所有されている情報です。
+ **PCI DSS** – この標準は、PCI Security Standards Council (SSC) によって定義された Payment Card Industry Data Security Standard (PCI DSS) コンプライアンスフレームワークに準拠しています。このフレームワークは、クレジットカードとデビットカードの情報を安全に処理するための一連のルールとガイドラインを提供します。フレームワークは通常、カード所有者データを保存、処理、または送信する組織に適用されます。
+ **サービスマネージド標準 – この標準は、 AWS Control Tower**Security Hub CSPM が提供する検出コントロールを から設定するのに役立ちます AWS Control Tower。 AWS Control Tower は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境を簡単にセットアップして管理する方法を提供します。
Security Hub CSPM の標準とコントロールは、規制のフレームワークや監査への準拠を保証するものではありません。代わりに、 AWS アカウント およびリソースの状態を評価およびモニタリングする方法を提供します。ビジネスニーズ、業界、ユースケースに関連する標準をそれぞれ有効にすることをお勧めします。
個々のコントロールは、複数の標準に適用できます。複数の標準を有効にする場合は、統合コントロールの検出結果も有効にすることをお勧めします。これを行うと、コントロールが複数の標準に適用されていても、Security Hub CSPM はコントロールごとに 1 つの検出結果を生成します。統合されたコントロールの検出結果を有効にしない場合、Security Hub CSPM は、コントロールが適用される有効な標準ごとに個別の検出結果を生成します。たとえば、2 つの標準を有効にし、その両方にコントロールが適用される場合、コントロールには 2 つの個別の検出結果が表示され、各標準に 1 つずつ表示されます。統合されたコントロールの検出結果を有効にすると、コントロールの検出結果が 1 つのみになります。詳細については、「[統合されたコントロールの検出結果](controls-findings-create-update.md#consolidated-control-findings)」を参照してください。
**Topics**
+ [AWS 基本的なセキュリティのベストプラクティス](fsbp-standard.md)
+ [AWS リソースのタグ付け](standards-tagging.md)
+ [CIS AWS Foundations Benchmark](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revision 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revision 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [サービスマネージドスタンダード](service-managed-standards.md)
# AWS Security Hub CSPM の基本的なセキュリティのベストプラクティス標準
AWS および業界の専門家によって開発された AWS Foundational Security Best Practices (FSBP) 標準は、組織の部門や規模に関係なく、組織のセキュリティベストプラクティスをまとめたものです。 AWS アカウント および リソースがセキュリティのベストプラクティスから逸脱した場合を検出する一連のコントロールを提供します。また、組織のセキュリティ体制を改善および維持する方法について、規範的なガイダンスを提供します。
AWS Security Hub CSPM の AWS Foundational Security Best Practices 標準には、 AWS アカウント および ワークロードを継続的に評価し、セキュリティのベストプラクティスから逸脱する領域を特定するのに役立つコントロールが含まれています。コントロールには、複数の AWS のサービスからの、リソースに対するセキュリティのベストプラクティスが含まれます。各コントロールには、コントロールの適用先のセキュリティ機能を反映するカテゴリが割り当てられます。カテゴリのリストとその他の詳細については、「[コントロールカテゴリ](control-categories.md)」を参照してください。
## 標準に適用されるコントロール
次のリストは、 Foundational AWS Security Best Practices 標準 (v1.0.0) に適用される Security Hub AWS CSPM コントロールを指定します。コントロールの詳細を確認するには、コントロールを選択します。
[[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
[[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
[[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2)
[[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります](apigateway-controls.md#apigateway-1)
[[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2)
[[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります](apigateway-controls.md#apigateway-3)
[[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります](apigateway-controls.md#apigateway-4)
[[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5)
[[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8)
[[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9)
[[APIGateway.10] API Gateway V2 統合では、プライベート接続に HTTPS を使用する必要があります](apigateway-controls.md#apigateway-10)
[[AppSync.1] AWS AppSync API キャッシュは保管時に暗号化する必要があります](appsync-controls.md#appsync-1)
[[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2)
[[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5)
[[AppSync.6] AWS AppSync API キャッシュは転送中に暗号化する必要があります](appsync-controls.md#appsync-6)
[[Athena.4] Athena ワークグループではログ記録が有効になっている必要があります](athena-controls.md#athena-4)
[[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1)
[[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2)
[[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3)
[[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5)
[[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6)
[[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9)
[[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1)
[[CloudFormation.3] CloudFormation スタックでは終了保護を有効にする必要があります](cloudformation-controls.md#cloudformation-3)
[[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です](cloudformation-controls.md#cloudformation-4)
[[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)
[[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)
[[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4)
[[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)
[[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)
[[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
[[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8)
[[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)
[[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
[[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)
[[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13)
[[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15)
[[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16)
[[CloudFront.17] CloudFront ディストリビューションは、署名付き URLsと Cookie に信頼されたキーグループを使用する必要があります](cloudfront-controls.md#cloudfront-17)
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
[[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2)
[[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3)
[[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4)
[[CodeBuild.7] CodeBuild レポートグループのエクスポートは保管時に暗号化する必要があります](codebuild-controls.md#codebuild-7)
[[Cognito.2] Cognito アイデンティティプールでは、認証されていない ID を許可しないこと](cognito-controls.md#cognito-2)
[[Cognito.3] Cognito ユーザープールのパスワードポリシーには強力な設定が必要です](cognito-controls.md#cognito-3)
[[Cognito.4] Cognito ユーザープールでは、カスタム認証の完全な関数強制モードで脅威保護を有効にする必要があります](cognito-controls.md#cognito-4)
[[Cognito.5] Cognito ユーザープールに対して MFA を有効にする必要があります](cognito-controls.md#cognito-5)
[[Cognito.6] Cognito ユーザープールでは削除保護を有効にする必要があります](cognito-controls.md#cognito-6)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります](connect-controls.md#connect-2)
[[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1)
[[DataSync.1] DataSync タスクではログ記録が有効になっている必要があります](datasync-controls.md#datasync-1)
[[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1)
[[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6)
[[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7)
[[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8)
[[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9)
[[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10)
[[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11)
[[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12)
[[DMS.13] DMS レプリケーションインスタンスは、複数のアベイラビリティーゾーンを使用するよう設定する必要があります](dms-controls.md#dms-13)
[[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1)
[[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2)
[[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3)
[[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4)
[[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5)
[[DocumentDB.6] Amazon DocumentDB クラスターは、転送中に暗号化する必要があります](documentdb-controls.md#documentdb-6)
[[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります](dynamodb-controls.md#dynamodb-1)
[[DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。](dynamodb-controls.md#dynamodb-2)
[[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3)
[[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6)
[[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7)
[[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします](ec2-controls.md#ec2-3)
[[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
[[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします](ec2-controls.md#ec2-9)
[[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10)
[[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15)
[[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)
[[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします](ec2-controls.md#ec2-17)
[[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18)
[[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19)
[[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23)
[[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24)
[[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25)
[[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)
[[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55)
[[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56)
[[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57)
[[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58)
[[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60)
[[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170)
[[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171)
[[EC2.172] EC2 VPC パブリックアクセスのブロック設定はインターネットゲートウェイトラフィックをブロックする必要があります](ec2-controls.md#ec2-172)
[[EC2.173] 起動パラメータを含む EC2 スポットフリートリクエストは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-173)
[[EC2.180] EC2 ネットワークインターフェイスでは、送信元/送信先チェックを有効にする必要があります](ec2-controls.md#ec2-180)
[[EC2.181] EC2 起動テンプレートは、アタッチされた EBS ボリュームの暗号化を有効にする必要があります](ec2-controls.md#ec2-181)
[[EC2.182] Amazon EBS スナップショットはパブリックにアクセスできません](ec2-controls.md#ec2-182)
[[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1)
[[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2)
[[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3)
[[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。](ecs-controls.md#ecs-1)
[[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2)
[[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3)
[[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4)
[[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5)
[[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8)
[[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9)
[[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10)
[[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12)
[[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16)
[[ECS.18] ECS タスク定義ではEFS ボリュームの転送時の暗号化を使用する必要があります](ecs-controls.md#ecs-18)
[[ECS.19] ECS キャパシティプロバイダーはマネージド終了保護を有効にする必要があります](ecs-controls.md#ecs-19)
[[ECS.20] ECS タスク定義では、Linux コンテナ定義で非ルートユーザーを設定する必要があります](ecs-controls.md#ecs-20)
[[ECS.21] ECS タスク定義では、Windows コンテナ定義で管理者以外のユーザーを設定する必要があります](ecs-controls.md#ecs-21)
[[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)
[[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2)
[[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3)
[[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4)
[[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6)
[[EFS .7] EFS ファイルシステムでは、自動バックアップが有効になっている必要があります](efs-controls.md#efs-7)
[[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8)
[[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1)
[[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)
[[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3)
[[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8)
[[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1)
[[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2)
[[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3)
[[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4)
[[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5)
[[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6)
[[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7)
[[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1)
[[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1)
[[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2)
[[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)
[[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4)
[[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります](elb-controls.md#elb-5)
[[ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります](elb-controls.md#elb-6)
[[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります](elb-controls.md#elb-7)
[[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)
[[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります](elb-controls.md#elb-9)
[[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10)
[[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12)
[[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13)
[[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14)
[[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17)
[[ELB.18] Application Load Balancer リスナーと Network Load Balancer リスナーは、安全なプロトコルを使用して転送中のデータを暗号化する必要があります](elb-controls.md#elb-18)
[[ELB.21] Application and Network Load Balancer ターゲットグループは、暗号化されたヘルスチェックプロトコルを使用する必要があります](elb-controls.md#elb-21)
[[ELB.22] ELB ターゲットグループは暗号化されたトランスポートプロトコルを使用する必要があります](elb-controls.md#elb-22)
[[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1)
[[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2)
[[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3)
[[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4)
[[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1)
[[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)
[[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3)
[[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4)
[[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5)
[[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です](es-controls.md#es-6)
[[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。](es-controls.md#es-7)
[[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8)
[[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3)
[[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1)
[[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2)
[[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-3)
[[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-4)
[[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります](fsx-controls.md#fsx-5)
[[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります](glue-controls.md#glue-3)
[[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4)
[[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
[[GuardDuty.5] GuardDuty EKS 監査ログモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-5)
[[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6)
[[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7)
[[GuardDuty.8] GuardDuty Malware Protection for EC2 を有効にする必要があります](guardduty-controls.md#guardduty-8)
[[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9)
[[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10)
[[GuardDuty.11] GuardDuty ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-11)
[[GuardDuty.12] GuardDuty ECS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-12)
[[GuardDuty.13] GuardDuty EC2 ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-13)
[[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
[[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
[[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
[[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1)
[[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2)
[[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3)
[[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4)
[[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1)
[[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です](kinesis-controls.md#kinesis-3)
[[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1)
[[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2)
[[KMS.3] AWS KMS keys を意図せずに削除しないでください](kms-controls.md#kms-3)
[[KMS.5] KMS キーはパブリックにアクセスしないでください](kms-controls.md#kms-5)
[[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1)
[[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)
[[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5)
[[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1)
[[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2)
[[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2)
[[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3)
[[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1)
[[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3)
[[MSK.4] MSK クラスターではパブリックアクセスを無効にする必要があります](msk-controls.md#msk-4)
[[MSK.5] MSK コネクタではログ記録が有効になっている必要があります](msk-controls.md#msk-5)
[[MSK.6] MSK クラスターは認証されていないアクセスを無効にする必要があります](msk-controls.md#msk-6)
[[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1)
[[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2)
[[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3)
[[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4)
[[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5)
[[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6)
[[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7)
[[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8)
[[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2)
[[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3)
[[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4)
[[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5)
[[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6)
[[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9)
[[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10)
[[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1)
[[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2)
[[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3)
[[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4)
[[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5)
[[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6)
[[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7)
[[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8)
[[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10)
[[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1)
[[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)
[[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1)
[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
[[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります](rds-controls.md#rds-4)
[[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5)
[[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります](rds-controls.md#rds-6)
[[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります](rds-controls.md#rds-7)
[[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります](rds-controls.md#rds-8)
[[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9)
[[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります](rds-controls.md#rds-10)
[[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります](rds-controls.md#rds-11)
[[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります](rds-controls.md#rds-12)
[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
[[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14)
[[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15)
[[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16)
[[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります](rds-controls.md#rds-17)
[[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-19)
[[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20)
[[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21)
[[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22)
[[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります](rds-controls.md#rds-23)
[[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24)
[[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25)
[[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27)
[[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34)
[[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35)
[[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36)
[[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37)
[[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40)
[[RDS.41] RDS for SQL Server DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-41)
[[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42)
[[RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要です](rds-controls.md#rds-43)
[[RDS.44] RDS for MariaDB DB インスタンスは転送中に暗号化する必要があります](rds-controls.md#rds-44)
[[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45)
[[RDS.46] RDS DB インスタンスは、インターネットゲートウェイへのルートを持つパブリックサブネットにデプロイすべきではありません](rds-controls.md#rds-46)
[[RDS.47] タグを DB スナップショットにコピーするように RDS for PostgreSQL DB クラスターを設定する必要があります](rds-controls.md#rds-47)
[[RDS.48] タグを DB スナップショットにコピーするように RDS for MySQL DB クラスターを設定する必要があります](rds-controls.md#rds-48)
[[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります](rds-controls.md#rds-50)
[[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1)
[[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2)
[[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3)
[[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4)
[[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6)
[[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7)
[[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8)
[[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10)
[[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15)
[[Redshift.18] Redshift クラスターでは、マルチ AZ 配置を有効にする必要があります](redshift-controls.md#redshift-18)
[[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります](redshiftserverless-controls.md#redshiftserverless-1)
[[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です](redshiftserverless-controls.md#redshiftserverless-2)
[[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります](redshiftserverless-controls.md#redshiftserverless-3)
[[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません](redshiftserverless-controls.md#redshiftserverless-5)
[[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります](redshiftserverless-controls.md#redshiftserverless-6)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2)
[[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)
[[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12)
[[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13)
[[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19)
[[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24)
[[S3.25] S3 ディレクトリバケットにはライフサイクル設定が必要です](s3-controls.md#s3-25)
[[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1)
[[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2)
[[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3)
[[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4)
[[SageMaker.5] SageMaker モデルでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-5)
[[SageMaker.8] SageMaker ノートブックインスタンスは、サポートされているプラットフォームで実行する必要があります](sagemaker-controls.md#sagemaker-8)
[[SageMaker.9] SageMaker データ品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-9)
[[SageMaker.10] SageMaker モデルの説明可能性ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-10)
[[SageMaker.11] SageMaker データ品質ジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-11)
[[SageMaker.12] SageMaker モデルバイアスジョブ定義では、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-12)
[[SageMaker.13] SageMaker モデル品質ジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-13)
[[SageMaker.14] SageMaker モニタリングスケジュールでは、ネットワーク分離を有効にする必要があります](sagemaker-controls.md#sagemaker-14)
[[SageMaker.15] SageMaker モデルバイアスジョブ定義では、コンテナ間のトラフィック暗号化を有効にする必要があります](sagemaker-controls.md#sagemaker-15)
[[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1)
[[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2)
[[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します](secretsmanager-controls.md#secretsmanager-3)
[[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4)
[[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1)
[[SES.3] SES 設定セットでは、TLS を有効にして E メールを送信する必要があります](ses-controls.md#ses-3)
[[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sns-controls.md#sns-4)
[[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1)
[[SQS.3] SQS トピックアクセスポリシーはパブリックアクセスを許可しないでください](sqs-controls.md#sqs-3)
[[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1)
[[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
[[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3)
[[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4)
[[SSM.6] SSM Automation では CloudWatch ログ記録が有効になっている必要があります](ssm-controls.md#ssm-6)
[[SSM.7] SSM ドキュメントでは、パブリック共有ブロック設定を有効にする必要があります](ssm-controls.md#ssm-7)
[[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1)
[[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2)
[[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3)
[[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)
[[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2)
[[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3)
[[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4)
[[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6)
[[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7)
[[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8)
[[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10)
[[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12)
[[WorkSpaces.1] WorkSpaces ユーザーボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-1)
[[WorkSpaces.2] WorkSpaces ルートボリュームは保管中に暗号化する必要があります](workspaces-controls.md#workspaces-2)
# AWS Security Hub CSPM のリソースタグ付け標準
AWS Security Hub CSPM によって開発された AWS リソースタグ付け標準は、 AWS リソースにタグがないかどうかを判断するのに役立ちます。*タグ*は、 AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。ほとんどの AWS リソースでは、リソースの作成時または作成後にリソースにタグを追加するオプションがあります。リソースの例としては、Amazon CloudFront ディストリビューション、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、 AWS Secrets Managerのシークレットなどがあります。タグは、 AWS リソースの管理、識別、整理、検索、フィルタリングに役立ちます。
各 タグは 2 つの部分で構成されます:
+ タグキー (例: `CostCenter`、`Environment`、または `Project`)。タグキーでは大文字と小文字が区別されます。
+ タグ値 (例: `111122223333` または `Production`)。タグキーと同様に、タグ値では大文字と小文字が区別されます。
タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。 AWS リソースへのタグの追加については、「リソースの[タグ付け AWS 」と「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。
Security Hub CSPM の AWS リソースタグ付け標準に適用されるコントロールごとに、オプションでサポートされているパラメータを使用して、コントロールがチェックするタグキーを指定できます。タグキーを指定しない場合、コントロールはタグキーが 1 つ以上存在するかどうかのチェックのみを行い、リソースにタグキーがない場合は失敗します。
AWS リソースタグ付け標準を有効にする前に、 でリソース記録を有効にして設定することが重要です AWS Config。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。記録するリソースのタイプのリストなどを含む詳細については、「[コントロールの検出結果に必要な AWS Config リソース](controls-config-resources.md)」を参照してください。
AWS リソースタグ付け標準を有効にしたら、標準に適用されるコントロールの検出結果の受信を開始します。Security Hub CSPM が、他の有効な標準に適用されるコントロールと同じ AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに、最大 18 時間かかる場合があることに注意してください。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。
AWS リソースタグ付け標準には、次の Amazon リソースネーム (ARN) があります。ここで`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`、*region* は該当する のリージョンコードです AWS リージョン。Security Hub CSPM API の [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用して、現在有効な標準の ARN を確認することもできます。
**注記**
[AWS リソースタグ付け標準](#standards-tagging)は、アジアパシフィック (ニュージーランド) およびアジアパシフィック (台北) リージョンでは利用できません。
## 標準に適用されるコントロール
次のリストは、 AWS リソースタグ付け標準 (v1.0.0) に適用される AWS Security Hub CSPM コントロールを指定します。コントロールの詳細を確認するには、コントロールを選択します。
+ [[ACM.3] ACM 証明書にはタグを付ける必要があります](acm-controls.md#acm-3)
+ [[Amplify.1] Amplify アプリにはタグを付ける必要があります](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify ブランチにはタグを付ける必要があります](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります](appflow-controls.md#appflow-1)
+ [[AppRunner.1] App Runner サービスにはタグを付ける必要があります](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIsにはタグを付ける必要があります](appsync-controls.md#appsync-4)
+ [[Athena.2] Athena データカタログにはタグを付ける必要があります](athena-controls.md#athena-2)
+ [[Athena.3] Athena ワークグループにはタグを付ける必要があります](athena-controls.md#athena-3)
+ [[AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] AWS Backup 復旧ポイントにはタグを付ける必要があります](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup ボールトにはタグを付ける必要があります](backup-controls.md#backup-3)
+ [[Backup.4] AWS Backup レポートプランにはタグを付ける必要があります](backup-controls.md#backup-4)
+ [[Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります](backup-controls.md#backup-5)
+ [[Batch.1] バッチジョブキューにはタグを付ける必要があります](batch-controls.md#batch-1)
+ [[Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります](batch-controls.md#batch-2)
+ [[Batch.3] バッチコンピューティング環境にはタグを付ける必要があります](batch-controls.md#batch-3)
+ [[Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync タスクにはタグを付ける必要があります](datasync-controls.md#datasync-2)
+ [[Detective.1] 検出動作グラフにはタグを付ける必要があります](detective-controls.md#detective-1)
+ [[DMS.2] DMS 証明書にはタグを付ける必要があります](dms-controls.md#dms-2)
+ [[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります](dms-controls.md#dms-3)
+ [[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります](dms-controls.md#dms-4)
+ [[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります](dms-controls.md#dms-5)
+ [[DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります](ec2-controls.md#ec2-33)
+ [[EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-34)
+ [[EC2.35] EC2 ネットワークインターフェイスにはタグを付ける必要があります](ec2-controls.md#ec2-35)
+ [[EC2.36] EC2 カスタマーゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-36)
+ [[EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります](ec2-controls.md#ec2-37)
+ [[EC2.38] EC2 インスタンスにはタグを付ける必要があります](ec2-controls.md#ec2-38)
+ [[EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-39)
+ [[EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-40)
+ [[EC2.41] EC2 ネットワーク ACL にはタグを付ける必要があります](ec2-controls.md#ec2-41)
+ [[EC2.42] EC2 ルートテーブルにはタグを付ける必要があります](ec2-controls.md#ec2-42)
+ [[EC2.43] EC2 セキュリティグループにはタグを付ける必要があります](ec2-controls.md#ec2-43)
+ [[EC2.44] EC2 サブネットにはタグを付ける必要があります](ec2-controls.md#ec2-44)
+ [[EC2.45] EC2 ボリュームにはタグを付ける必要があります](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPC にはタグを付ける必要があります](ec2-controls.md#ec2-46)
+ [[EC2.47] Amazon VPC エンドポイントサービスはタグを付ける必要があります](ec2-controls.md#ec2-47)
+ [[EC2.48] Amazon VPC フローログにはタグを付ける必要があります](ec2-controls.md#ec2-48)
+ [[EC2.49] Amazon VPC ピアリング接続にはタグを付ける必要があります](ec2-controls.md#ec2-49)
+ [[EC2.50] EC2 VPN ゲートウェイにはタグを付ける必要があります](ec2-controls.md#ec2-50)
+ [[EC2.52] EC2 Transit Gateway にはタグを付ける必要があります](ec2-controls.md#ec2-52)
+ [[EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります](ec2-controls.md#ec2-174)
+ [[EC2.175] EC2 起動テンプレートにはタグを付ける必要があります](ec2-controls.md#ec2-175)
+ [[EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります](ec2-controls.md#ec2-176)
+ [[EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります](ec2-controls.md#ec2-177)
+ [[EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります](ec2-controls.md#ec2-178)
+ [[EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります](ec2-controls.md#ec2-179)
+ [[ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります](ecr-controls.md#ecr-4)
+ [[ECS.13] ECS サービスにはタグを付ける必要があります](ecs-controls.md#ecs-13)
+ [[ECS.14] ECS クラスターにはタグを付ける必要があります](ecs-controls.md#ecs-14)
+ [[ECS.15] ECS タスク定義にはタグを付ける必要があります](ecs-controls.md#ecs-15)
+ [[EFS .5] EFS アクセスポイントにはタグを付ける必要があります](efs-controls.md#efs-5)
+ [[EKS.6] EKS クラスターにはタグを付ける必要があります](eks-controls.md#eks-6)
+ [[EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります](eks-controls.md#eks-7)
+ [[ES.9] Elasticsearch ドメインにはタグを付ける必要があります](es-controls.md#es-9)
+ [[EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] AWS Glue ジョブにはタグを付ける必要があります](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります](guardduty-controls.md#guardduty-4)
+ [[IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります](iam-controls.md#iam-23)
+ [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24)
+ [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25)
+ [[IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります](iot-controls.md#iot-1)
+ [[IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります](iot-controls.md#iot-4)
+ [[IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります](iot-controls.md#iot-6)
+ [[IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります](iotevents-controls.md#iotevents-1)
+ [[IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-2)
+ [[IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります](iotevents-controls.md#iotevents-3)
+ [[IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-1)
+ [[IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-2)
+ [[IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-3)
+ [[IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-4)
+ [[IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります](iotsitewise-controls.md#iotsitewise-5)
+ [[IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-1)
+ [[IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-2)
+ [[IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-3)
+ [[IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります](iottwinmaker-controls.md#iottwinmaker-4)
+ [[IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-1)
+ [[IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-2)
+ [[IoTWireless.3] AWS IoT FUOTA タスクにはタグを付ける必要があります](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] IVS 再生キーペアにはタグを付ける必要があります](ivs-controls.md#ivs-1)
+ [[IVS.2] IVS 記録設定にはタグを付ける必要があります](ivs-controls.md#ivs-2)
+ [[IVS.3] IVS チャネルにはタグを付ける必要があります](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Kinesis ストリームにはタグを付ける必要があります](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Lambda 関数にはタグを付ける必要があります](lambda-controls.md#lambda-6)
+ [[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります](opensearch-controls.md#opensearch-9)
+ [[PCA.2] AWS プライベート CA 認証機関にはタグを付ける必要があります](pca-controls.md#pca-2)
+ [[RDS.28] RDS DB クラスターにはタグを付ける必要があります](rds-controls.md#rds-28)
+ [[RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります](rds-controls.md#rds-29)
+ [[RDS.30] RDS DB インスタンスにはタグを付ける必要があります](rds-controls.md#rds-30)
+ [[RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります](rds-controls.md#rds-31)
+ [[RDS.32] RDS DB スナップショットにはタグを付ける必要があります](rds-controls.md#rds-32)
+ [[RDS.33] RDS DB サブネットグループにはタグを付ける必要があります](rds-controls.md#rds-33)
+ [[Redshift.11] Redshift クラスターにはタグを付ける必要があります](redshift-controls.md#redshift-11)
+ [[Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります](redshift-controls.md#redshift-12)
+ [[Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります](redshift-controls.md#redshift-13)
+ [[Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります](redshift-controls.md#redshift-14)
+ [[Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります](redshift-controls.md#redshift-17)
+ [[Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります](route53-controls.md#route53-1)
+ [[SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker イメージにはタグを付ける必要があります](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Secrets Manager のシークレットにはタグを付ける必要があります](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] SES 連絡先リストにはタグを付ける必要があります](ses-controls.md#ses-1)
+ [[SES.2] SES 設定セットにはタグを付ける必要があります](ses-controls.md#ses-2)
+ [[SNS.3] SNS トピックにはタグを付ける必要があります](sns-controls.md#sns-3)
+ [[SQS.2] SQS キューにはタグを付ける必要があります](sqs-controls.md#sqs-2)
+ [[SSM.5] SSM ドキュメントにはタグを付ける必要があります](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります](transfer-controls.md#transfer-1)
+ [[Transfer.4] Transfer Family 契約にはタグを付ける必要があります](transfer-controls.md#transfer-4)
+ [[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります](transfer-controls.md#transfer-5)
+ [[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります](transfer-controls.md#transfer-6)
+ [[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります](transfer-controls.md#transfer-7)
# Security Hub CSPM の CIS AWS Foundations Benchmark
Center for Internet Security (CIS) AWS Foundations Benchmark は、一連のセキュリティ設定のベストプラクティスとして機能します AWS。業界で認められているこれらのベストプラクティスは、明確かつステップバイステップの実装および評価手順を提供します。オペレーティングシステムからクラウドサービスやネットワークデバイスに至るまで、このベンチマークのコントロールは、組織が使用する特定のシステムの保護に役立ちます。
AWS Security Hub CSPM は、CIS AWS Foundations Benchmark バージョン 5.0.0、3.0.0、1.4.0、および 1.2.0 をサポートしています。このページでは、各バージョンがサポートするセキュリティコントロールを一覧表示します。また、各バージョン間の比較も提供します。
## CIS AWS Foundations Benchmark バージョン 5.0.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 5.0.0 (v5.0.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:
+ CIS Benchmark for CIS AWS Foundations Benchmark、v5.0.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v5.0.0、レベル 2
### CIS AWS Foundations Benchmark バージョン 5.0.0 に適用されるコントロール
[[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)
[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)
[[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)
[[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
[[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)
[[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)
[[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
[[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5)
[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
[[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)
[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark バージョン 3.0.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 3.0.0 (v3.0.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:
+ CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v3.0.0、レベル 2
### CIS AWS Foundations Benchmark バージョン 3.0.0 に適用されるコントロール
[[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)
[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)
[[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
[[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)
[[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)
[[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)
[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark バージョン 1.4.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.4.0 (v1.4.0) をサポートしています。
### CIS AWS Foundations Benchmark バージョン 1.4.0 に適用されるコントロール
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
## CIS AWS Foundations Benchmark バージョン 1.2.0
Security Hub CSPM は、CIS AWS Foundations Benchmark のバージョン 1.2.0 (v1.2.0) をサポートしています。Security Hub CSPM は CIS Security Software Certification の要件を満たしており、以下の CIS Benchmarks で CIS Security Software Certification を受けています:
+ CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 1
+ CIS Benchmark for CIS AWS Foundations Benchmark、v1.2.0、レベル 2
### CIS AWS Foundations Benchmark バージョン 1.2.0 に適用されるコントロール
[[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
[[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3)
[[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
[[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)
[[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
[[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
[[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
[[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
[[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
## CIS AWS Foundations Benchmark のバージョン比較
このセクションでは、Center for Internet Security (CIS) AWS Foundations Benchmark – v5.0.0、v3.0.0、v1.4.0、および v1.2.0 の特定のバージョンの違いをまとめています。 AWS Security Hub CSPM は、CIS AWS Foundations Benchmark の各バージョンをサポートしています。ただし、セキュリティのベストプラクティスに最新の状態で準拠するため、v5.0.0 の使用をお勧めします。CIS AWS Foundations Benchmark 標準の複数のバージョンを同時に有効にできます。標準の有効化の詳細については、「[セキュリティ標準の有効化](enable-standards.md)」を参照してください。v5.0.0 にアップグレードする場合は、古いバージョンを無効にするより前にそれを有効にしてください。そうすることで、セキュリティチェックのギャップが生じるのを防ぐことができます。と Security Hub CSPM の統合を使用して AWS Organizations いて、複数のアカウントで v5.0.0 をバッチ有効化する場合は、[中央設定](central-configuration-intro.md)を使用することをお勧めします。
### 各バージョンの CIS 要件に対するコントロールのマッピング
CIS AWS Foundations Benchmark がサポートする各バージョンのコントロールを理解します。
| コントロール ID とタイトル | CIS v5.0.0 の要件 | CIS v3.0.0 の要件 | CIS v1.4.0 の要件 | CIS v1.2.0 の要件 |
| --- | --- | --- | --- | --- |
| [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1) | 1.2 | 1.2 | 1.2 | 1.18 |
| [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1) | 3.1 | 3.1 | 3.1 | 2.1 |
| [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2) | 3.5 | 3.5 | 37 | 2.7 |
| [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4) | 3.2 | 3.2 | 3.2 | 2.2 |
| [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 3.4 | 2.4 |
| [[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 3.3 | 2.3 |
| [[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7) | 3.4 | 3.4 | 3.6 | 2.6 |
| [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.3 | 3.3 |
| [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 3.1 |
| [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 3.2 |
| [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.4 | 3.4 |
| [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.5 | 3.5 |
| [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.6 | 3.6 |
| [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.7 | 37 |
| [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.8 | 3.8 |
| [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.9 | 3.9 |
| [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.10 | 3.10 |
| [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.11 | 3.11 |
| [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.12 | 3.12 |
| [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.13 | 3.13 |
| [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | 4.14 | 3.14 |
| [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1) | 3.3 | 3.3 | 3.5 | 2.5 |
| [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2) | 5.5 | 5.4 | 5.3 | 4.3 |
| [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6) | 37 | 37 | 3.9 | 2.9 |
| [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7) | 5.1.1 | 2.2.1 | 2.2.1 | サポートされていません |
| [[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8) | 5.7 | 5.6 | サポートされません | サポートされません |
| [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13) | サポートされません – 要件 5.3 および 5.4 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | 4.1 |
| [[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14) | サポートされません – 要件 5.3 および 5.4 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | サポートされません – 要件 5.2 および 5.3 に置き換えられました | 4.2 |
| [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21) | 5.2 | 5.1 | 5.1 | サポートされていません |
| [[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53) | 5.3 | 5.2 | サポートされません | サポートされません |
| [[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54) | 5.4 | 5.3 | サポートされません | サポートされません |
| [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1) | 2.3.1 | 2.4.1 | サポートされません | サポートされません |
| [[EFS .8] EFS ファイルシステムは保管中に暗号化する必要があります](efs-controls.md#efs-8) | 2.3.1 | サポートされません | サポートされません | サポートされません |
| [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1) | サポートされません | サポートされません | 1.16 | 1.22 |
| [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2) | 1.14 | 1.15 | サポートされていません | 1.16 |
| [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3) | 1.13 | 1.14 | 1.14 | 1.4 |
| [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4) | 1.3 | 1.4 | 1.4 | 1.12 |
| [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5) | 1.9 | 1.10 | 1.10 | 1.2 |
| [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6) | 1.5 | 1.6 | 1.6 | 1.14 |
| [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8) | サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。 | サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。 | サポートされていません – 代わりに「[[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)」を参照してください。 | 1.3 |
| [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9) | 1.4 | 1.5 | 1.5 | 1.13 |
| [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.5 |
| [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.6 |
| [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.7 |
| [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.8 |
| [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15) | 1.7 | 1.8 | 1.8 | 1.9 |
| [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16) | 1.8 | 1.9 | 1.9 | 1.10 |
| [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.11 |
| [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18) | 1.16 | 1.17 | 1.17 | 1.2 |
| [[IAM.20] ルートユーザーの使用を避けます](iam-controls.md#iam-20) | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | サポートされていません – CIS がこの要件を削除しました | 1.1 |
| [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22) | 1.11 | 1.12 | 1.12 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26) | 1.18 | 1.19 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27) | 1.21 | 1.22 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[IAM.28] IAM Access Analyzer 外部アクセスアナライザーを有効にする必要があります](iam-controls.md#iam-28) | 1.19 | 1.20 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4) | 3.6 | 3.6 | 3.8 | 2.8 |
| [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1) | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック | サポートされていません – 手動チェック |
| [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2) | 2.2.3 | 2.3.3 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3) | 2.2.1 | 2.3.1 | 2.3.1 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5) | 2.2.4 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13) | 2.2.2 | 2.3.2 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15) | 2.2.4 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1) | 2.1.4 | 2.1.4 | 2.1.5 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5) | 2.1.1 | 2.1.1 | 2.1.2 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8) | 2.1.4 | 2.1.4 | 2.1.5 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
| [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20) | 2.1.2 | 2.1.2 | 2.1.3 | サポートされていません – CIS は、この要件を以降のバージョンで追加しました |
### CIS AWS Foundations Benchmarks の ARNs
CIS AWS Foundations Benchmark の 1 つ以上のバージョンを有効にすると、 AWS Security Finding 形式 (ASFF) で結果の受信が開始されます。ASFF では、各バージョンは次の Amazon リソースネーム (ARN) を使用します。
**CIS AWS Foundations Benchmark v5.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`
**CIS AWS Foundations Benchmark v3.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`
**CIS AWS Foundations Benchmark v1.4.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`
**CIS AWS Foundations Benchmark v1.2.0**
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`
Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用して、有効な標準の ARN を確認できます。
上記の値は `StandardsArn` 用です。ただし、`StandardsSubscriptionArn` は、 リージョンで [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) を呼び出して標準をサブスクライブするときに Security Hub CSPM が作成する標準サブスクリプションリソースを指します。
**注記**
CIS AWS Foundations Benchmark のバージョンを有効にすると、Security Hub CSPM が他の有効な標準で有効なコントロールと同じサービスにリンクされたルールを使用する AWS Config コントロールの検出結果を生成するまでに最大 18 時間かかることがあります。コントロール検出結果の生成スケジュールの詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。
[統合されたコントロールの検出結果] を有効にすると、検出結果フィールドが異なります。違いについての詳細は、「[ASFF フィールドと値への統合の影響](asff-changes-consolidation.md)」を参照してください。サンプルコントロールの検出結果については、「[コントロール検出結果のサンプル](sample-control-findings.md)」を参照してください。
### Security Hub CSPM でサポートされていない CIS 要件
前の表で説明したように、Security Hub CSPM は CIS AWS Foundations Benchmark のすべてのバージョンですべての CIS 要件をサポートしているわけではありません。サポートされていない要件の多くは、 AWS リソースの状態を手動で確認することによってのみ評価できます。
# Security Hub CSPM の NIST SP 800-53 Revision 5
NIST Special Publication 800-53 Revision 5 (NIST SP 800-53 Rev. 5) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、情報システムと重要なリソースの機密性、完全性、可用性を保護するためのセキュリティ要件とプライバシー要件のカタログを提供します。米国連邦政府機関と請負業者は、システムや組織を保護するために、これらの要件に従う必要があります。プライベート組織は、サイバーセキュリティリスクを軽減するための指針となるフレームワークとして、要件を自主的に使用することもできます。このフレームワークとその要件の詳細については、「*NIST コンピューターセキュリティリソースセンター*」の「[NIST SP 800-53 Rev.5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)」を参照してください。
AWS Security Hub CSPM は、NIST SP 800-53 Revision 5 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス および リソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-53 Revision 5 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-53 Revision 5 の要件をサポートしていないことに注意してください。
他のフレームワークとは異なり、NIST SP 800-53 Revision 5 フレームワークは、その要件をどのように評価すべきかについて、指示を与えるものではありません。代わりに、フレームワークはガイドラインを提供します。Security Hub CSPM では、NIST SP 800-53 Revision 5 の標準とコントロールは、これらのガイドラインに対する本サービスの解釈を表しています。
**Topics**
+ [標準のリソース記録の設定](#standards-reference-nist-800-53-recording)
+ [標準に適用されるコントロールの特定](#standards-reference-nist-800-53-controls)
## 標準に適用されるコントロールのリソース記録の設定
検出結果の範囲と精度を最適化するには、 AWS Security Hub CSPM で NIST SP 800-53 Revision 5 標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。これは主に、*変更によってトリガーされる*スケジュールタイプを持つコントロール用です。ただし、*定期的な*スケジュールタイプの一部のコントロールでは、リソースの記録も必要です。リソースの記録が有効になっていない、または正しく設定されていない場合、Security Hub CSPM は適切なリソースを評価できず、標準に適用されるコントロールに対して正確な検出結果を生成できない可能性があります。
Security Hub CSPM が でリソース記録を使用する方法については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。でのリソース記録の設定については AWS Config、「 *AWS Config デベロッパーガイド*[」の「設定レコーダーの使用](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。
次の表は、Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されるコントロールに記録するリソースのタイプを示しています。
| AWS のサービス | リソースタイプ: |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## 標準に適用されるコントロールの特定
次のリストは、NIST SP 800-53 Revision 5 の要件をサポートするコントロールを指定し、 AWS Security Hub CSPM の NIST SP 800-53 Revision 5 標準に適用されます。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の**関連要件**フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。
+ [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
+ [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2)
+ [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] AWS Backup 復旧ポイントは保管時に暗号化する必要があります](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
+ [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] CloudTrail Lake イベントデータストアはカスタマーマネージドで暗号化する必要があります AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3)
+ [[CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です](codebuild-controls.md#codebuild-4)
+ [[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
+ [[DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1)
+ [[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6)
+ [[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7)
+ [[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8)
+ [[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9)
+ [[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10)
+ [[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11)
+ [[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12)
+ [[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1)
+ [[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
+ [[EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします](ec2-controls.md#ec2-3)
+ [[EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります](ec2-controls.md#ec2-4)
+ [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
+ [[EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします](ec2-controls.md#ec2-7)
+ [[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
+ [[EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10)
+ [[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします](ec2-controls.md#ec2-12)
+ [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
+ [[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15)
+ [[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)
+ [[EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします](ec2-controls.md#ec2-17)
+ [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18)
+ [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19)
+ [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20)
+ [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
+ [[EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします](ec2-controls.md#ec2-23)
+ [[EC2.24] Amazon EC2 準仮想化インスタンスタイプを使用しないことをお勧めします](ec2-controls.md#ec2-24)
+ [[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25)
+ [[EC2.28] EBS ボリュームをバックアッププランの対象にすることをお勧めします](ec2-controls.md#ec2-28)
+ [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)
+ [[EC2.55] VPC は ECR API のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-55)
+ [[EC2.56] VPC は Docker Registry のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-56)
+ [[EC2.57] VPC は Systems Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-57)
+ [[EC2.58] VPC は、Systems Manager Incident Manager Contacts のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-58)
+ [[EC2.60] VPC は Systems Manager Incident Manager のインターフェイスエンドポイントで設定する必要があります](ec2-controls.md#ec2-60)
+ [[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1)
+ [[ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります](ecr-controls.md#ecr-2)
+ [[ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります](ecr-controls.md#ecr-3)
+ [[ECR.5] ECR リポジトリはカスタマーマネージドで暗号化する必要があります AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。](ecs-controls.md#ecs-1)
+ [[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2)
+ [[ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください](ecs-controls.md#ecs-3)
+ [[ECS.4] ECS コンテナは、非特権として実行する必要があります](ecs-controls.md#ecs-4)
+ [[ECS.5] ECS タスク定義では、ルートファイルシステムへの読み取り専用アクセスに制限するようにコンテナを設定する必要があります](ecs-controls.md#ecs-5)
+ [[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8)
+ [[ECS.9] ECS タスク定義にはログ設定が必要です。](ecs-controls.md#ecs-9)
+ [[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10)
+ [[ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります](ecs-controls.md#ecs-12)
+ [[ECS.17] ECS タスク定義ではホストネットワークモードを使用すべきではありません](ecs-controls.md#ecs-17)
+ [[EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります](efs-controls.md#efs-2)
+ [[EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります](efs-controls.md#efs-3)
+ [[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4)
+ [[EFS.6] EFS マウントターゲットは、起動時にパブリック IP アドレスを割り当てるサブネットに関連付けるべきではありません](efs-controls.md#efs-6)
+ [[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1)
+ [[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)
+ [[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3)
+ [[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8)
+ [[ElastiCache.1] ElastiCache (Redis OSS) クラスターでは自動バックアップを有効にする必要があります](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] ElastiCache クラスターでは、デフォルトのサブネットグループを使用しないでください](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1)
+ [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)
+ [[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4)
+ [[ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります](elb-controls.md#elb-5)
+ [[ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります](elb-controls.md#elb-6)
+ [[ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります](elb-controls.md#elb-7)
+ [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)
+ [[ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります](elb-controls.md#elb-9)
+ [[ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12)
+ [[ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります](elb-controls.md#elb-13)
+ [[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14)
+ [[ELB.16] Application Load Balancer は AWS WAF ウェブ ACL に関連付ける必要があります](elb-controls.md#elb-16)
+ [[ELB.17] リスナーを使用する Application Load Balancer と Network Load Balancer は、推奨されるセキュリティポリシーを使用する必要があります。](elb-controls.md#elb-17)
+ [[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1)
+ [[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2)
+ [[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります](emr-controls.md#emr-3)
+ [[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります](emr-controls.md#emr-4)
+ [[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1)
+ [[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)
+ [[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3)
+ [[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります](es-controls.md#es-4)
+ [[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5)
+ [[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です](es-controls.md#es-6)
+ [[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。](es-controls.md#es-7)
+ [[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8)
+ [[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] EventBridge グローバルエンドポイントでは、イベントの複製が有効になっている必要があります](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります](fsx-controls.md#fsx-2)
+ [[Glue.4] AWS Glue Spark ジョブは、サポートされているバージョンの で実行する必要があります AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
+ [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
+ [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
+ [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります](kinesis-controls.md#kinesis-1)
+ [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1)
+ [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2)
+ [[KMS.3] AWS KMS keys を意図せずに削除しないでください](kms-controls.md#kms-3)
+ [[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
+ [[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1)
+ [[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)
+ [[Lambda.3] Lambda 関数は VPC 内に存在する必要があります](lambda-controls.md#lambda-3)
+ [[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります](lambda-controls.md#lambda-5)
+ [[Lambda.7] Lambda 関数では AWS X-Ray アクティブトレースを有効にする必要があります](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie を有効にする必要があります](macie-controls.md#macie-1)
+ [[Macie.2] Macie 機密データ自動検出を有効にする必要があります](macie-controls.md#macie-2)
+ [[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1)
+ [[MSK.2] MSK クラスターでは、拡張モニタリングを設定する必要があります](msk-controls.md#msk-2)
+ [[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2)
+ [[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3)
+ [[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります](mq-controls.md#mq-5)
+ [[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。](mq-controls.md#mq-6)
+ [[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります](neptune-controls.md#neptune-1)
+ [[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2)
+ [[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3)
+ [[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります](neptune-controls.md#neptune-4)
+ [[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります](neptune-controls.md#neptune-5)
+ [[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります](neptune-controls.md#neptune-6)
+ [[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります](neptune-controls.md#neptune-7)
+ [[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります](neptune-controls.md#neptune-8)
+ [[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2)
+ [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] Network Firewall ファイアウォールはサブネット変更保護を有効にする必要があります](networkfirewall-controls.md#networkfirewall-10)
+ [[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1)
+ [[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5)
+ [[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です](opensearch-controls.md#opensearch-6)
+ [[Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](opensearch-controls.md#opensearch-8)
+ [[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch ドメインには少なくとも 3 つの専用プライマリノードが必要です](opensearch-controls.md#opensearch-11)
+ [[PCA.1] AWS Private CA ルート認証機関を無効にする必要があります](pca-controls.md#pca-1)
+ [[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1)
+ [[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
+ [[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。](rds-controls.md#rds-3)
+ [[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります](rds-controls.md#rds-4)
+ [[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります](rds-controls.md#rds-5)
+ [[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります](rds-controls.md#rds-6)
+ [[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります](rds-controls.md#rds-7)
+ [[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります](rds-controls.md#rds-8)
+ [[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9)
+ [[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります](rds-controls.md#rds-10)
+ [[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります](rds-controls.md#rds-11)
+ [[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります](rds-controls.md#rds-12)
+ [[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
+ [[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります](rds-controls.md#rds-14)
+ [[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります](rds-controls.md#rds-15)
+ [[RDS.16] Aurora DB クラスターでは、タグを DB スナップショットにコピーするように設定する必要があります](rds-controls.md#rds-16)
+ [[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります](rds-controls.md#rds-17)
+ [[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-19)
+ [[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20)
+ [[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21)
+ [[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22)
+ [[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります](rds-controls.md#rds-23)
+ [[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24)
+ [[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25)
+ [[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります](rds-controls.md#rds-26)
+ [[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります](rds-controls.md#rds-27)
+ [[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34)
+ [[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35)
+ [[RDS.40] RDS for SQL Server DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-40)
+ [[RDS.42] RDS for MariaDB DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-42)
+ [[RDS.45] Aurora MySQL DB クラスターでは、監査ログ記録が有効になっている必要があります](rds-controls.md#rds-45)
+ [[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1)
+ [[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2)
+ [[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります](redshift-controls.md#redshift-3)
+ [[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります](redshift-controls.md#redshift-6)
+ [[Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります](redshift-controls.md#redshift-7)
+ [[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください](redshift-controls.md#redshift-8)
+ [[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)
+ [[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
+ [[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2)
+ [[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3)
+ [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
+ [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)
+ [[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7)
+ [[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
+ [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)
+ [[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-10)
+ [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11)
+ [[S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。](s3-controls.md#s3-12)
+ [[S3.13] S3 汎用バケットにはライフサイクル設定が必要です](s3-controls.md#s3-13)
+ [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14)
+ [[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります](s3-controls.md#s3-15)
+ [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19)
+ [[S3.20] S3 汎用バケットでは MFA 削除が有効になっている必要があります](s3-controls.md#s3-20)
+ [[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] ユーザーは SageMaker ノートブックインスタンスのルートアクセス権を付与されてはなりません](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] SageMaker エンドポイントの本番稼働バリアントの初期インスタンス数は 1 より大きい必要があります](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Service Catalog ポートフォリオは AWS 組織内でのみ共有する必要があります](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] Amazon SQS キューは保管中に暗号化する必要があります](sqs-controls.md#sqs-1)
+ [[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
+ [[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3)
+ [[SSM.4] SSM ドキュメントはパブリックにしないでください](ssm-controls.md#ssm-4)
+ [[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2)
+ [[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります](transfer-controls.md#transfer-3)
+ [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)
+ [[WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-2)
+ [[WAF.3] AWS WAF Classic リージョンルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-3)
+ [[WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-4)
+ [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8)
+ [[WAF.10] AWS WAF ウェブ ACLs には少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-10)
+ [[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11)
+ [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12)
# Security Hub CSPM の NIST SP 800-171 Revision 2
NIST Special Publication 800-171 Revision 2 (NIST SP 800-171 Rev. 2) は、米国商務省の一機関である米国国立標準技術研究所 (NIST) が開発した、サイバーセキュリティおよびコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、米国連邦政府の一部ではないシステムや組織で、管理対象未分類情報の機密性を保護するための推奨セキュリティ要件を提供します。*CUI* とも呼ばれる*管理対象未分類情報*は、政府の分類基準を満たしていないが保護する必要がある機密情報です。これは機密情報と見なされ、米国連邦政府、または米国連邦政府に代わって行動する他の組織によって作成または保有される情報です。
NIST SP 800-171 Rev. 2 は、以下の場合に CUI の機密性を保護するための推奨セキュリティ要件を提供します。
+ 情報が連邦政府以外のシステムや組織内に存在している場合。
+ 連邦政府以外の組織が連邦機関に代わって情報を収集・保持していない、または機関に代わってシステムを使用・運用していない場合。
+ CUI レジストリに記載された CUI カテゴリに対し、その機密性を保護するための具体的な保護要件が、関連する法律、規制、または政府全体のポリシーで規定されていない場合。
要件は、CUI を処理、保存、送信する、またはそれらのコンポーネントに対してセキュリティ保護を提供する、非連邦のシステムおよび組織のすべてのコンポーネントに適用されます。詳細については、「*NIST Computer Security Resource Center*」の「[NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)」を参照してください。
AWS Security Hub CSPM は、NIST SP 800-171 Revision 2 要件のサブセットをサポートするセキュリティコントロールを提供します。コントロールは、特定の AWS のサービス および リソースの自動セキュリティチェックを実行します。これらのコントロールを有効にして管理するには、Security Hub CSPM で NIST SP 800-171 Revision 2 フレームワークを標準として有効にします。コントロールは、手動での確認が必要な NIST SP 800-171 Revision 2 の要件をサポートしていないことに注意してください。
**Topics**
+ [標準のリソース記録の設定](#standards-reference-nist-800-171-recording)
+ [標準に適用されるコントロールの特定](#standards-reference-nist-800-171-controls)
## 標準に適用されるコントロールのリソース記録の設定
検出結果の範囲と精度を最適化するには、 AWS Security Hub CSPM で NIST SP 800-171 Revision 2 標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定することが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対しても有効にしてください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。
Security Hub CSPM が でリソース記録を使用する方法については AWS Config、「」を参照してください[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)。でのリソース記録の設定については AWS Config、「 *AWS Config デベロッパーガイド*[」の「設定レコーダーの使用](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。
次の表は、Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されるコントロールに記録するリソースのタイプを示しています。
| AWS のサービス | リソースタイプ: |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## 標準に適用されるコントロールの特定
次のリストは、NIST SP 800-171 Revision 2 の要件をサポートするコントロールを指定し、 AWS Security Hub CSPM の NIST SP 800-171 Revision 2 標準に適用されます。コントロールがサポートする特定の要件の詳細については、コントロールを選択します。次に、コントロールの詳細の**関連要件**フィールドを参照します。このフィールドは、コントロールがサポートする NIST の各要件を示します。フィールドに特定の NIST 要件が示されていない場合、コントロールはその要件をサポートしていません。
+ [[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
+ [[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)
+ [[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします](ec2-controls.md#ec2-10)
+ [[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
+ [[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)
+ [[EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします](ec2-controls.md#ec2-18)
+ [[EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません](ec2-controls.md#ec2-19)
+ [[EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります](ec2-controls.md#ec2-20)
+ [[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
+ [[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)
+ [[ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)
+ [[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)
+ [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
+ [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
+ [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
+ [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
+ [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
+ [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
+ [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります](networkfirewall-controls.md#networkfirewall-2)
+ [[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
+ [[S3.6] S3 汎用バケットポリシーは、他の へのアクセスを制限する必要があります AWS アカウント](s3-controls.md#s3-6)
+ [[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)
+ [[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります](s3-controls.md#s3-11)
+ [[S3.14] S3 汎用バケットではバージョニングが有効になっている必要があります](s3-controls.md#s3-14)
+ [[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要があります AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
+ [[WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります](waf-controls.md#waf-12)
# Security Hub CSPM の PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) は、クレジットカードおよびデビットカードの情報を安全に処理するための一連のルールとガイドラインを提供するサードパーティーのコンプライアンスフレームワークです。PCI Security Standards Council (SSC) は、このフレームワークを作成および更新します。
AWS Security Hub CSPM は、このサードパーティーフレームワークへの準拠を維持するのに役立つ PCI DSS 標準を提供します。この標準を使用して、カード所有者データを処理する AWS リソースのセキュリティ上の脆弱性を発見できます。カード所有者データまたは機密認証データを保存、処理、または送信するリソースがある AWS アカウント でこの標準を有効にすることをお勧めします。PCI SSC による評価により、この標準の有効性が確認されました。
Security Hub CSPM は、PCI DSS v3.2.1 と PCI DSS v4.0.1 の両方をサポートしています。セキュリティのベストプラクティスに最新の状態で準拠するため、v4.0.1 の使用をお勧めします。両方のバージョンの標準を同時に有効にできます。標準の有効化の詳細については、「[セキュリティ標準の有効化](enable-standards.md)」を参照してください。現在 v3.2.1 を使用していて、今後は v4.0.1 のみを使用するという場合は、古いバージョンを無効にするより前に新しいバージョンを有効にしてください。そうすることで、セキュリティチェックのギャップが生じるのを防ぐことができます。Security Hub CSPM と の統合を使用して AWS Organizations いて、複数のアカウントで v4.0.1 をバッチ有効化する場合は、[中央設定](central-configuration-intro.md)を使用して有効にすることをお勧めします。
以下のセクションでは、PCI DSS v3.2.1 および PCI DSS v4.0.1 にどのコントロールが適用されるかを示します。
## PCI DSS v3.2.1 に適用されるコントロール
次のリストには、PCI DSS v3.2.1 にどの Security Hub CSPM コントロールが適用されるかを示します。コントロールの詳細を確認するには、コントロールを選択します。
[[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある](autoscaling-controls.md#autoscaling-1)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります](cloudtrail-controls.md#cloudtrail-5)
[[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
[[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2)
[[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります](config-controls.md#config-1)
[[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1)
[[EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします](ec2-controls.md#ec2-1)
[[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします](ec2-controls.md#ec2-2)
[[EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします](ec2-controls.md#ec2-6)
[[EC2.12] 未使用の Amazon EC2 EIP を削除することをお勧めします](ec2-controls.md#ec2-12)
[[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
[[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります](elb-controls.md#elb-1)
[[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります](es-controls.md#es-1)
[[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)
[[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
[[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
[[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
[[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)
[[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1)
[[Lambda.3] Lambda 関数は VPC 内に存在する必要があります](lambda-controls.md#lambda-3)
[[Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります](opensearch-controls.md#opensearch-1)
[[Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります](opensearch-controls.md#opensearch-2)
[[RDS.1] RDS スナップショットはプライベートである必要があります](rds-controls.md#rds-1)
[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
[[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります](s3-controls.md#s3-2)
[[S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。](s3-controls.md#s3-3)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.7] S3 汎用バケットでクロスリージョンレプリケーションを使用する必要があります](s3-controls.md#s3-7)
[[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1)
[[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager](ssm-controls.md#ssm-1)
[[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
[[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3)
## PCI DSS v4.0.1 に適用されるコントロール
次のリストには、PCI DSS v4.0.1 にどの Security Hub CSPM コントロールが適用されるかを示します。コントロールの詳細を確認するには、コントロールを選択します。
[[ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります](acm-controls.md#acm-1)
[[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります](acm-controls.md#acm-2)
[[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります](apigateway-controls.md#apigateway-9)
[[AppSync.2] AWS AppSync フィールドレベルのログ記録を有効にする必要があります](appsync-controls.md#appsync-2)
[[AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります](autoscaling-controls.md#autoscaling-3)
[[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません](autoscaling-controls.md#autoscaling-5)
[[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)
[[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
[[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)
[[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)
[[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)
[[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)
[[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)
[[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります](cloudtrail-controls.md#cloudtrail-3)
[[PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します](cloudtrail-controls.md#cloudtrail-7)
[[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません](codebuild-controls.md#codebuild-2)
[[CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります](codebuild-controls.md#codebuild-3)
[[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります](dms-controls.md#dms-1)
[[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります](dms-controls.md#dms-10)
[[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります](dms-controls.md#dms-11)
[[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります](dms-controls.md#dms-12)
[[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。](dms-controls.md#dms-6)
[[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-7)
[[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。](dms-controls.md#dms-8)
[[DMS.9] DMS エンドポイントは SSL を使用する必要があります。](dms-controls.md#dms-9)
[[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です](documentdb-controls.md#documentdb-2)
[[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません](documentdb-controls.md#documentdb-3)
[[DocumentDB.4] Amazon DocumentDB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](documentdb-controls.md#documentdb-4)
[[DynamoDB.7] DynamoDB Accelerator クラスターは、保管中に暗号化する必要があります](dynamodb-controls.md#dynamodb-7)
[[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-13)
[[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります](ec2-controls.md#ec2-14)
[[EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします](ec2-controls.md#ec2-15)
[[EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします](ec2-controls.md#ec2-16)
[[EC2.170] EC2 起動テンプレートは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-170)
[[EC2.171] EC2 VPN 接続では、ログ記録が有効になっている必要があります](ec2-controls.md#ec2-171)
[[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります](ec2-controls.md#ec2-21)
[[EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします](ec2-controls.md#ec2-25)
[[EC2.51] EC2 Client VPN エンドポイントでは、クライアント接続ログ記録が有効になっている必要があります](ec2-controls.md#ec2-51)
[[EC2.53] EC2 セキュリティグループが 0.0.0.0/0 からリモートサーバー管理ポートへの入力を許可することがないようにする必要があります](ec2-controls.md#ec2-53)
[[EC2.54] EC2 セキュリティグループは ::/0 からリモートサーバー管理ポートへの入力を許可しない必要があります](ec2-controls.md#ec2-54)
[[EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします](ec2-controls.md#ec2-8)
[[ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります](ecr-controls.md#ecr-1)
[[ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。](ecs-controls.md#ecs-10)
[[ECS.16] ECS タスクセットはパブリック IP アドレスを自動的に割り当てないでください。](ecs-controls.md#ecs-16)
[[ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください](ecs-controls.md#ecs-2)
[[ECS.8] シークレットは、コンテナ環境の変数として渡さないでください](ecs-controls.md#ecs-8)
[[EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります](efs-controls.md#efs-4)
[[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります](eks-controls.md#eks-1)
[[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。](eks-controls.md#eks-2)
[[EKS.3] EKS クラスターは暗号化された Kubernetes シークレットを使用する必要があります](eks-controls.md#eks-3)
[[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります](eks-controls.md#eks-8)
[[ElastiCache.2] ElastiCache クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります。](elasticache-controls.md#elasticache-2)
[[ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります](elasticache-controls.md#elasticache-5)
[[ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります](elasticache-controls.md#elasticache-6)
[[ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[[ElasticBeanstalk.3] Elastic Beanstalk は CloudWatch にログをストリーミングする必要があります](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[[ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります](elb-controls.md#elb-12)
[[ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります](elb-controls.md#elb-14)
[[ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります](elb-controls.md#elb-3)
[[ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります](elb-controls.md#elb-4)
[[ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な uration AWS Configを持つ事前定義されたセキュリティポリシーを使用する必要があります](elb-controls.md#elb-8)
[[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります](emr-controls.md#emr-1)
[[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります](emr-controls.md#emr-2)
[[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります](es-controls.md#es-2)
[[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります](es-controls.md#es-3)
[[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります](es-controls.md#es-5)
[[ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります](es-controls.md#es-8)
[[EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります](eventbridge-controls.md#eventbridge-3)
[[GuardDuty.1] GuardDuty を有効にする必要があります](guardduty-controls.md#guardduty-1)
[[GuardDuty.10] GuardDuty S3 Protection を有効にする必要があります](guardduty-controls.md#guardduty-10)
[[GuardDuty.6] GuardDuty Lambda Protection を有効にする必要があります](guardduty-controls.md#guardduty-6)
[[GuardDuty.7] GuardDuty EKS ランタイムモニタリングを有効にする必要があります](guardduty-controls.md#guardduty-7)
[[GuardDuty.9] GuardDuty RDS Protection を有効にする必要があります](guardduty-controls.md#guardduty-9)
[[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
[[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
[[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
[[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
[[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
[[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
[[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
[[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
[[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
[[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
[[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)
[[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
[[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
[[Inspector.1] Amazon Inspector EC2 スキャンを有効にする必要があります](inspector-controls.md#inspector-1)
[[Inspector.2] Amazon Inspector ECR スキャンを有効にする必要があります](inspector-controls.md#inspector-2)
[[Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります](inspector-controls.md#inspector-3)
[[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります](inspector-controls.md#inspector-4)
[[KMS.4] AWS KMS キーローテーションを有効にする必要があります](kms-controls.md#kms-4)
[[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります](lambda-controls.md#lambda-1)
[[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります](lambda-controls.md#lambda-2)
[[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります](mq-controls.md#mq-2)
[[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります](mq-controls.md#mq-3)
[[MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります](msk-controls.md#msk-1)
[[MSK.3] MSK Connect コネクタは転送中に暗号化する必要があります](msk-controls.md#msk-3)
[[Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](neptune-controls.md#neptune-2)
[[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください](neptune-controls.md#neptune-3)
[[Opensearch.10] OpenSearch ドメインには、最新のソフトウェアアップデートがインストールされている必要があります](opensearch-controls.md#opensearch-10)
[[Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります](opensearch-controls.md#opensearch-5)
[[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-13)
[[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります](rds-controls.md#rds-2)
[[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-20)
[[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-21)
[[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります](rds-controls.md#rds-22)
[[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります](rds-controls.md#rds-24)
[[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります](rds-controls.md#rds-25)
[[RDS.34] Aurora MySQL DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-34)
[[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります](rds-controls.md#rds-35)
[[RDS.36] RDS for PostgreSQL DB は CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-36)
[[RDS.37] Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があります](rds-controls.md#rds-37)
[[RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります](rds-controls.md#rds-9)
[[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります](redshift-controls.md#redshift-1)
[[Redshift.15] Redshift セキュリティグループは、制限されたオリジンからのみクラスターポートへの入力を許可する必要があります](redshift-controls.md#redshift-15)
[[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります](redshift-controls.md#redshift-2)
[[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります](redshift-controls.md#redshift-4)
[[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)
[[S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。](s3-controls.md#s3-1)
[[S3.15] S3 汎用バケットでは Object Lock が有効になっている必要があります](s3-controls.md#s3-15)
[[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys](s3-controls.md#s3-17)
[[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-19)
[[S3.22] S3 汎用バケットはオブジェクトレベルの書き込みイベントをログに記録する必要があります](s3-controls.md#s3-22)
[[S3.23] S3 汎用バケットはオブジェクトレベルの読み取りイベントをログに記録する必要があります](s3-controls.md#s3-23)
[[S3.24] S3 マルチリージョンアクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります](s3-controls.md#s3-24)
[[S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。](s3-controls.md#s3-5)
[[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります](s3-controls.md#s3-8)
[[S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります](s3-controls.md#s3-9)
[[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります](sagemaker-controls.md#sagemaker-1)
[[SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります](secretsmanager-controls.md#secretsmanager-1)
[[SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-2)
[[SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります](secretsmanager-controls.md#secretsmanager-4)
[[SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります](ssm-controls.md#ssm-2)
[[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります](ssm-controls.md#ssm-3)
[[StepFunctions.1] Step Functions ステートマシンではログ記録がオンになっている必要があります](stepfunctions-controls.md#stepfunctions-1)
[[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください](transfer-controls.md#transfer-2)
[[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)
[[WAF.11] AWS WAF ウェブ ACL ログ記録を有効にする必要があります](waf-controls.md#waf-11)
# Security Hub CSPM のサービスマネージドスタンダード
サービスマネージド標準は、別の が AWS のサービス 管理するセキュリティ標準ですが、Security Hub CSPM で表示できます。たとえば、[サービスマネージドスタンダード: AWS Control Tower](service-managed-standard-aws-control-tower.md) は、 が AWS Control Tower 管理するサービスマネージドスタンダードです。サービスマネージドスタンダードは、 AWS Security Hub CSPM が管理するセキュリティ標準とは次の点で異なります。
+ **標準の作成と削除** — 管理サービスのコンソールまたは API、または AWS CLIを使用して、サービスマネージドスタンダードを作成および削除します。いずれかの方法で管理サービスで標準を作成するまでは、その標準は Security Hub CSPM コンソールに表示されず、Security Hub CSPM API または AWS CLIからもアクセスできません。
+ **コントロールの自動有効化なし** – サービスマネージドスタンダードを作成したとき、Security Hub CSPM および管理サービスは、標準に適用されるコントロールの自動有効化を行いません。また、Security Hub CSPM が標準で新しいコントロールをリリースするとき、それが自動有効化されることもありません。これは Security Hub CSPM が管理する標準からの逸脱です。Security Hub CSPM でコントロールを設定する通常の方法の詳細については、「[Security Hub CSPM のセキュリティコントロールを理解する](controls-view-manage.md)」を参照してください。
+ **コントロールの有効化と無効化** — ドリフトを防ぐために、管理サービスでコントロールを有効または無効にすることをお勧めします。
+ **コントロールの可用性** – 管理サービスは、サービスマネージドスタンダードの一部として使用できるコントロールを選択します。使用可能なコントロールには、既存の Security Hub CSPM コントロールのすべて、またはサブセットを含めることができます。
管理サービスがサービスマネージドスタンダードを作成し、そのコントロールを使用できるようになった後は、Security Hub CSPM コンソール、Security Hub CSPM API、または AWS CLIで、コントロールの検出結果、コントロールステータス、標準セキュリティスコアにアクセス表示できます。この情報の一部または全部は、管理サービスで使用することもできます。
以下のリストからサービスマネージドスタンダードを選択すると、その詳細が表示されます。
**Topics**
+ [
# サービスマネージドスタンダード: AWS Control Tower
](service-managed-standard-aws-control-tower.md)
# サービスマネージドスタンダード: AWS Control Tower
このセクションでは、サービスマネージドスタンダードについて説明します AWS Control Tower。
## サービスマネージドスタンダードとは AWS Control Tower
サービスマネージドスタンダード: は、Security Hub コントロールのサブセットをサポートする AWS Control Tower を管理するサービスマネージドスタンダード AWS Control Tower です。この標準は、 AWS Security Hub CSPM および のユーザー向けに設計されています AWS Control Tower。これにより、 AWS Control Tower サービスから Security Hub CSPM の検出コントロールを設定できます。
検出コントロールは、 AWS アカウント内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。
**ヒント**
サービスマネージド標準は、 AWS Security Hub CSPM が管理する標準とは異なります。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「[Security Hub CSPM のサービスマネージドスタンダード](service-managed-standards.md)」を参照してください。
Security Hub CSPM コントロールを で有効にすると AWS Control Tower、Control Tower はこれらの特定のアカウントとリージョンで Security Hub CSPM をまだ有効にしていない場合も有効にします。Security Hub CSPM コンソールと API では、標準が有効になると、Service-Managed Standard: AWS Control Tower と他の Security Hub CSPM 標準を表示できます AWS Control Tower。
この標準の詳細については、「*AWS Control Tower ユーザーガイド*」の「[Security Hub CSPM controls](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)」を参照してください。
## 標準の作成
この標準は、Security Hub CSPM コントロールを から有効にする場合にのみ、Security Hub CSPM で使用できます AWS Control Tower。 AWS Control Tower は、次のいずれかの方法を使用して、該当するコントロールを最初に有効にするときに標準を作成します。
+ AWS Control Tower コンソール
+ AWS Control Tower API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html) API を呼び出す)
+ AWS CLI ( [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html) コマンドを実行します)
Security Hub CSPM コントロールを で有効にする場合 AWS Control Tower、Security Hub CSPM をまだ有効にしていない場合、 はこれらの特定のアカウントとリージョンで Security Hub CSPM AWS Control Tower も有効にします。
Control Catalog のコントロール ID で Security Hub CSPM コントロールを特定するには、 `Implementation.Identifier`フィールドを使用できます AWS Control Tower。このフィールドは Security Hub CSPM コントロール ID にマッピングされ、特定のコントロール ID をフィルタリングするために使用できます。で特定の Security Hub CSPM コントロール (CodeBuild.1") のコントロールメタデータを取得するには AWS Control Tower、 [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API を使用できます。
`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Security Hub CSPM コンソール、Security Hub CSPM API、または Security Hub CSPM コントロールを最初に設定 AWS Control Tower して有効に AWS CLI しない限り、前述の方法のいずれか AWS Control Tower を使用してこの標準を表示またはアクセスすることはできません。
この標準は、 [AWS リージョンAWS Control Tower が利用可能な でのみ使用できます](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)。
## 標準のコントロールの有効化と無効化
を使用して Security Hub CSPM コントロールを有効に AWS Control Tower し、Service-Managed Standard: AWS Control Tower standard を作成したら、Security Hub CSPM で標準とその使用可能なコントロールを表示できます。
Security Hub CSPM が Service-Managed Standard: AWS Control Tower standard に新しいコントロールを追加すると、標準が有効になっているお客様に対して自動的に有効になるわけではありません。次のいずれかの方法を使用して AWS Control Tower 、 から標準のコントロールを有効または無効にする必要があります。
+ AWS Control Tower コンソール
+ AWS Control Tower API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)および [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIsを呼び出す)
+ AWS CLI ( コマンド[https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)と [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html) コマンドを実行します)
でコントロールの有効化ステータスを変更すると AWS Control Tower、その変更は Security Hub CSPM にも反映されます。
ただし、Security Hub CSPM で有効になっているコントロールを無効にすると、コントロールドリフト AWS Control Tower が発生します。のコントロールステータスは として AWS Control Tower 表示されます`Drifted`。このドリフトを解決するには、[ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html) API を使用してドリフト中のコントロールをリセットするか、 AWS Control Tower コンソールで [OU の再登録](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift)を選択するか、前述の方法のいずれか AWS Control Tower を使用して でコントロールを無効化および再有効化します。
で有効化アクションと無効化アクションを完了すると、コントロールドリフトを回避 AWS Control Tower できます。
でコントロールを有効または無効にすると AWS Control Tower、アクションは によって管理されるアカウントとリージョンに適用されます AWS Control Tower。Security Hub CSPM でコントロールを有効または無効にすると (この標準では推奨されません)、アクションは現在のアカウントとリージョンにのみ適用されます。
**注記**
[中央設定](central-configuration-intro.md)を使用してサービスマネージドスタンダードを管理することはできません AWS Control Tower。この標準のコントロールを有効または無効にするには、 AWS Control Tower サービス*のみ*を使用できます。
## 有効化ステータスとコントロールステータスの表示
次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。
+ Security Hub CSPM コンソール、Security Hub CSPM API、または AWS CLI
+ AWS Control Tower コンソール
+ AWS Control Tower 有効なコントロールのリストを表示する API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html) API を呼び出す)
+ AWS CLI 有効になっているコントロールのリストを表示するには ( [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html) コマンドを実行します)
で無効にしたコントロール AWS Control Tower は、Security Hub CSPM `Disabled`でそのコントロールを明示的に有効にしない限り、Security Hub CSPM で有効化ステータスが になります。
Security Hub CSPM は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「[Security Hub CSPM でのコントロールの詳細の確認](securityhub-standards-control-details.md)」 を参照してください。
コントロールステータスに基づいて、Security Hub CSPM はサービスマネージドスタンダード[のセキュリティスコア](standards-security-score.md)を計算します AWS Control Tower。このスコアは Security Hub CSPM のみで確認できます。また、Security Hub CSPM で表示できるのは[コントロール検出結果](controls-findings-create-update.md)のみです。標準のセキュリティスコアとコントロールの検出結果は では使用できません AWS Control Tower。
**注記**
サービスマネージドスタンダード: のコントロールを有効にすると AWS Control Tower、Security Hub CSPM が既存の AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。Security Hub CSPM で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。
## 標準を削除する
次のいずれかの方法を使用して、該当するすべてのコントロールを無効にする AWS Control Tower ことで、 でこのサービスマネージド標準を削除できます。
+ AWS Control Tower コンソール
+ AWS Control Tower API ( [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) API を呼び出す)
+ AWS CLI ( [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html) コマンドを実行します)
すべてのコントロールを無効にすることにより、 AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。で標準を削除すると AWS Control Tower 、Security Hub CSPM コンソールの**標準**ページから削除され、Security Hub CSPM API または を使用してアクセスできなくなります AWS CLI。
**注記**
Security Hub CSPM で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。
Security Hub CSPM サービスを無効にすると、Service-Managed Standard: AWS Control Tower および有効にしたその他の標準が削除されます。
## サービスマネージドスタンダードの検出結果フィールド形式: AWS Control Tower
Service-Managed Standard: を作成し、そのコントロールを有効にする AWS Control Tower と、Security Hub CSPM でコントロールの検出結果を受信し始めます。Security Hub CSPM は、[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) でコントロール検出結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) および `GeneratorId` の ASFF 値です。
+ **標準 ARN** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`
サービスマネージドスタンダード: の検出結果の例については AWS Control Tower、「」を参照してください[コントロール検出結果のサンプル](sample-control-findings.md)。
## サービスマネージドスタンダードに適用されるコントロール: AWS Control Tower
サービスマネージドスタンダード: AWS Foundational Security Best Practices (FSBP) 標準の一部であるコントロールのサブセット AWS Control Tower をサポートします。コントロールを選択すると、失敗した検出結果の修正手順など、そのコントロールに関する情報が表示されます。
でサポートされている Security Hub CSPM コントロールを確認するには AWS Control Tower、次のいずれかの方法を使用できます。
+ AWS フィルタリングできる Control Catalog コンソール `“Control owner = AWS Security Hub”`
+ AWS Control Catalog API ( [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API を呼び出す) が をチェック`Implementations`する のフィルターが `Types` であることを確認します。 `AWS::SecurityHub::SecurityControl`
+ AWS CLI のフィルターを使用して ( [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html) コマンドを実行します)`Implementations`。CLI コマンドの例:
`aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Control Tower 標準で有効にした場合の Security Hub CSPM コントロールのリージョン制限は、基盤となるコントロールのリージョン制限と一致しない場合があります。
Security Hub CSPM では、アカウントで[統合コントロールの検出](controls-findings-create-update.md#consolidated-control-findings)結果がオフになっている場合、生成された検出結果の `ProductFields.ControlId`フィールドは標準ベースのコントロール ID を使用します。標準ベースのコントロール ID は、**CT.*ControlId*** (**CT.CodeBuild.1** など) としてフォーマットされます。
この標準の詳細については、「*AWS Control Tower ユーザーガイド*」の「[Security Hub CSPM controls](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html)」を参照してください。
# セキュリティ標準の有効化
AWS Security Hub CSPM でセキュリティ標準を有効にすると、Security Hub CSPM は標準に適用されるすべてのコントロールを自動的に作成して有効にします。また、Security Hub CSPM は、コントロールのセキュリティチェックの実行と検出結果の生成を開始します。
検出結果の範囲と精度を最適化するには、標準を有効にする AWS Config 前に、 でリソース記録を有効にして設定します。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプのリソースに対し有効にすることも忘れないでください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。詳細については、「[Security Hub CSPM AWS Config の有効化と設定](securityhub-setup-prereqs.md)」を参照してください。
標準を有効にした後、標準に適用される個々のコントロールを無効にしたり、後で再度有効にしたりできます。標準のコントロールを無効にすると、Security Hub CSPM はそのコントロールの検出結果の生成を停止します。さらに、Security Hub CSPM は、標準のセキュリティスコアを計算するときにコントロールを無視します。セキュリティスコアは、その標準に適用され、有効化され、評価データを持つコントロールの総数に対して、評価に合格したコントロールの割合を示します。
標準を有効化すると、Security Hub CSPM はその標準の予備的なセキュリティスコアを生成します。これは通常、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ標準]** ページに初めてアクセスしてから約 30 分以内に生成されます。セキュリティスコアは、コンソールでこれらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。さらに、スコアを表示するには、 AWS Config でリソース記録を設定する必要があります。中国リージョン および では AWS GovCloud (US) Regions、Security Hub CSPM が標準の予備セキュリティスコアを生成するまでに最大 24 時間かかる場合があります。Security Hub CSPM が予備スコアを生成した後、24 時間ごとにスコアを更新します。セキュリティスコアが最後に更新された日時を確認するには、Security Hub CSPM がスコアに提供するタイムスタンプを参照できます。詳細については、「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。
標準を有効にする方法は、複数のアカウントと AWS リージョンの Security Hub CSPM を管理する際に、[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。マルチアカウント、マルチリージョン環境で標準を有効にする場合、中央設定を使用することをお勧めします。Security Hub CSPM を と統合する場合は、中央設定を使用できます AWS Organizations。中央設定を使用しない場合、各アカウントおよび各リージョンで、標準を個別に有効化する必要があります。
**Topics**
+ [
## 複数のアカウントで標準を有効にし、 AWS リージョン
](#enable-standards-central-configuration)
+ [
## 1 つのアカウントで標準を有効にし、 AWS リージョン
](#securityhub-standard-enable-console)
+ [
## 標準のステータスをチェックする
](#standard-subscription-status)
## 複数のアカウントで標準を有効にし、 AWS リージョン
複数のアカウントおよび でセキュリティ標準を有効にして設定するには AWS リージョン、[中央設定](central-configuration-intro.md)を使用します。中央設定では、委任された Security Hub CSPM 管理者は、1 つ以上の標準を有効にする Security Hub CSPM 設定ポリシーを作成できます。管理者は、その後、設定ポリシーを個々のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、*集約リージョン*とも呼ばれるホームリージョンおよびすべてのリンクされたリージョンに影響します。
設定ポリシーではカスタマイズオプションが可能です。たとえば、1 つの OU に対して AWS Foundational Security Best Practices (FSBP) 標準のみを有効にするように選択できます。別の OU では、FSBP 標準と Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 標準の両方を有効にすることができます。指定した特定の標準を有効にする設定ポリシーの作成については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。
中央設定を使用する場合、Security Hub CSPM は新規または既存のアカウントで標準を自動的に有効にしません。代わりに、Security Hub CSPM 管理者は、組織の Security Hub CSPM 設定ポリシーを作成するときに、各アカウントで有効にする標準を指定します。Security Hub CSPM では、FSBP 標準のみを有効にする推奨設定ポリシーが提供されています。詳細については、「[設定ポリシーのタイプ](configuration-policies-overview.md#policy-types)」を参照してください。
**注記**
Security Hub CSPM 管理者は、設定ポリシーを使用して任意の標準を有効化できますが、[AWS Control Tower サービスマネージド標準](service-managed-standard-aws-control-tower.md)は例外となります。この標準を有効にするには、管理者が AWS Control Tower を直接使用する必要があります。また、 を使用して AWS Control Tower 、一元管理されたアカウントのこの標準の個々のコントロールを有効または無効にする必要があります。
一部のアカウントが独自に標準を有効にして設定できるようにしたい場合、Security Hub CSPM 管理者はそれらのアカウントを*セルフマネージドアカウント*として指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に有効化して設定する必要があります。
## 1 つのアカウントで標準を有効にし、 AWS リージョン
中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントまたは AWS リージョンでセキュリティ標準を一元的に有効にすることはできません。しかし、1 つのアカウントおよびリージョンで標準を有効にすることはできます。これは、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して実行できます。
------
#### [ Security Hub CSPM console ]
Security Hub CSPM コンソールを使用して、1 つのアカウントとリージョンで標準を有効にするには、以下の手順に従います。
**1 つのアカウントおよびリージョンで標準を有効にするには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、標準を有効にするリージョンを選択します。
1. ナビゲーションペインで、**[セキュリティ標準]** を選択します。現在 Security Hub CSPM がサポートするすべての標準が **[セキュリティ標準]** ページに一覧表示されます。標準を既に有効にしている場合、標準のセクションには、現在のセキュリティスコアとその標準の追加詳細が表示されます。
1. 有効にする標準のセクションで、**[標準を有効にする]** を選択します。
追加のリージョンで標準を有効にするには、追加のリージョンごとに前のステップを繰り返します。
------
#### [ Security Hub CSPM API ]
1 つのアカウントとリージョンで標準をプログラムで有効にするには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html) コマンドを実行します。
リクエストで、`StandardsArn` パラメータを使用して、有効にする標準の Amazon リソースネーム (ARN) を指定します。また、リクエストが適用されるリージョンも指定します。たとえば、次のコマンドは AWS Foundational Security Best Practices (FSBP) 標準を有効にします。
```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```
ここでは、*arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** は米国東部 (バージニア北部) リージョンの FSBP 標準の ARN であり、*us-east-1* はそれを有効にするリージョンです。
標準の ARN を取得するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)オペレーションを使用するか、 を使用している場合は [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) コマンド AWS CLIを実行します。
最初に自分のアカウントで現在有効になっている標準のリストを確認するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用できます。を使用している場合は AWS CLI、[get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) コマンドを実行して、このリストを取得できます。
------
標準を有効にすると、Security Hub CSPM は、アカウントと指定されたリージョンで標準を有効にするタスクの実行を開始します。これには、標準に適用されるすべてのコントロールの作成が含まれます。これらのタスクのステータスをモニタリングするには、アカウントとリージョンの標準のステータスを確認できます。
## 標準のステータスをチェックする
アカウントのセキュリティ標準を有効にすると、Security Hub CSPM はアカウントの標準に適用されるすべてのコントロールの作成を開始します。Security Hub CSPM は、標準の予備セキュリティスコアの生成など、アカウントの標準を有効にするための追加のタスクも実行します。Security Hub CSPM がこれらのタスクを実行する間、そのアカウントでは標準のステータスは *Pending* になります。その後、標準のステータスはさまざまな状態に遷移します。これらの状態はモニタリングして確認できます。
**注記**
標準の個々のコントロールを変更しても、標準の全体的なステータスには影響しません。たとえば、以前に無効にしたコントロールを有効にしても、変更は標準のステータスには影響しません。同様に、有効なコントロールのパラメータ値を変更しても、標準のステータスには影響しません。
Security Hub CSPM コンソールを使用して標準のステータスを確認するには、ナビゲーションペインで **[セキュリティ標準]** を選択します。現在 Security Hub CSPM がサポートするすべての標準が **[セキュリティ標準]** ページに一覧表示されます。Security Hub CSPM が標準を有効にするタスクを現在実行している場合、標準のセクションは、Security Hub CSPM がまだ標準のセキュリティスコアを生成中であることを示します。標準が有効になっている場合、標準のセクションには現在のスコアが表示されます。**[結果の表示]** を選択して、標準に適用される個々のコントロールのステータスなど、追加の詳細を確認します。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。
Security Hub CSPM API を使用して標準のステータスをプログラムで確認するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用します。リクエストでは、オプションで `StandardsSubscriptionArns` パラメータを使用して、ステータスを確認する標準の Amazon リソースネーム (ARN) を指定します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) コマンドを実行して、標準のステータスを確認できます。チェックする標準の ARN を指定するには、`standards-subscription-arns` パラメータを使用します。指定する ARN を確認するには、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)オペレーションを使用するか、 で [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) コマンド AWS CLIを実行します。
リクエストが成功すると、Security Hub CSPM は `StandardsSubscription` オブジェクトの配列で応答します。*標準サブスクリプション*は、アカウントで標準が有効になっている場合に Security Hub CSPM がアカウントで作成する AWS リソースです。各 `StandardsSubscription` オブジェクトは、アカウントに対して現在有効または有効または無効になっている標準に関する詳細を提供します。各オブジェクト内で、`StandardsStatus` フィールドはアカウントの標準の現在のステータスを指定します。
標準 (`StandardsStatus`)のステータスは、以下のいずれかになります。
**PENDING**
Security Hub CSPM は現在、アカウントの標準を有効にするタスクを実行しています。これには、標準に適用されるコントロールの作成と、標準の予備セキュリティスコアの生成が含まれます。Security Hub CSPM がすべてのタスクを完了するまでに数分かかる場合があります。標準は、アカウントで既に有効になっており、Security Hub CSPM が現在標準に新しいコントロールを追加している場合にも、このステータスになることがあります。
標準にこのステータスがある場合、標準に適用される個々のコントロールの詳細を取得できない場合があります。さらに、標準の個々のコントロールを設定または無効にできない場合があります。たとえば、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) オペレーションを使用してコントロールを無効にしようとすると、エラーが発生します。
標準に対して個々のコントロールを設定または管理できるかどうかを確認するには、`StandardsControlsUpdatable` フィールドの値を参照してください。このフィールドの値が `READY_FOR_UPDATES` の場合、標準の個々のコントロールの管理を開始できます。それ以外の場合は、Security Hub CSPM が追加の処理タスクを完了して標準を有効にするまで待ちます。
**READY**
標準は現在、アカウントに対して有効になっています。Security Hub CSPM は、セキュリティチェックを実行し、標準に適用され、現在有効になっているすべてのコントロールの検出結果を生成できます。Security Hub CSPM では、有効な標準ごとにセキュリティスコアも計算できます。
標準にこのステータスがある場合は、標準に適用される個々のコントロールの詳細を取得できます。さらに、コントロールを設定、無効化、または再有効化できます。標準を無効にすることもできます。
**INCOMPLETE**
Security Hub CSPM は、アカウントに対して標準を完全に有効にできませんでした。Security Hub CSPM は、標準に適用され、現在有効になっているすべてのコントロールについて、セキュリティチェックを実行したり検出結果を生成したりすることはできません。さらに、Security Hub CSPM は標準のセキュリティスコアを計算できません。
標準が完全に有効にならなかったことの理由を確認するには、`StandardsStatusReason` 配列の情報を参照してください。この配列は、Security Hub CSPM が標準を有効化することを妨げた問題を示します。内部エラーが発生した場合は、アカウントの標準を再度有効にしてみてください。その他の種類の問題については、[AWS Config 設定を確認してください](securityhub-setup-prereqs.md)。チェックしたくない[個々のコントロールを無効](disable-controls-overview.md)にしたり、標準を完全に無効にしたりすることもできます。
**DELETING**
Security Hub CSPM は現在、アカウントの標準を無効にするリクエストを処理しています。これには、標準に適用されるコントロールの無効化、および関連するセキュリティスコアの削除が含まれます。Security Hub CSPM がリクエストの処理を完了するまでに数分かかる場合があります。
標準にこのステータスがある場合、その標準を再度有効化したり、アカウントに対して再度無効化を試みたりすることはできません。Security Hub CSPM は、まず現在のリクエストの処理を完了する必要があります。さらに、標準に適用される個々のコントロールの詳細を取得したり、コントロールを管理したりすることはできません。
**FAILED**
Security Hub CSPM は、アカウントの標準を無効化することができませんでした。Security Hub CSPM が標準を無効化しようとしたときに 1 つ以上のエラーが発生しました。さらに、Security Hub CSPM は標準のセキュリティスコアを計算できません。
標準が完全に無効にならなかったことの理由を確認するには、`StandardsStatusReason` 配列の情報を参照してください。この配列は、Security Hub CSPM が標準を無効化することを妨げた問題を示します。
標準にこのステータスがある場合、標準に適用される個々のコントロールの詳細を取得したり、コントロールを管理したりすることはできません。ただし、アカウントの標準を再度有効にすることはできます。Security Hub CSPM が標準を無効にすることを妨げた問題に対処すれば、標準を再度無効化することを試すこともできます。
標準のステータスが `READY` の場合、Security Hub CSPM は、標準に適用され、現在有効になっているすべてのコントロールに対しセキュリティチェックを実行し、検出結果を生成します。他のステータスの場合、Security Hub CSPM は、すべてではなく一部の有効なコントロールに対しチェックを実行し、検出結果を生成する場合があります。コントロール検出結果の生成または更新には最大 24 時間かかる場合があります。詳細については、「[セキュリティチェックの実行スケジュール](securityhub-standards-schedule.md)」を参照してください。
# セキュリティ標準の詳細の確認
AWS Security Hub CSPM でセキュリティ標準を有効にしたら、コンソールを使用して標準の詳細を確認できます。 コンソールの標準の詳細ページには、以下の情報が含まれます。
+ 標準の現在のセキュリティスコア。
+ 標準に適用されるコントロールのテーブル。
+ 標準に適用されるコントロールの集計統計。
+ 標準に適用されるコントロールのステータスの視覚的要約。
+ 標準で有効化および適用されたコントロールのセキュリティチェックの視覚的要約。と統合すると AWS Organizations、少なくとも 1 つの組織アカウントで有効になっているコントロールは有効と見なされます。
これらの詳細を確認するには、コンソールのナビゲーションペインで **[セキュリティ標準]** を選択します。次に、標準のセクションで、**[結果の表示]** を選択します。より詳細な分析を行うには、データをフィルタリングしてソートし、ドリルダウンして標準に適用される個々のコントロールの詳細を確認することができます。
**Topics**
+ [
## 標準セキュリティスコアについて
](#standard-details-overview)
+ [
## 標準のコントロールの確認
](#standard-controls-list)
## 標準セキュリティスコアについて
AWS Security Hub CSPM コンソールで、標準の詳細ページに標準のセキュリティスコアが表示されます。スコアは、その標準に適用され、有効化され、評価データがあるコントロールの総数に対して、評価に合格したコントロールの割合を示します。スコアの下には、標準で有効化されているコントロールのセキュリティチェックの概要図が表示されます。これにはセキュリティチェックの合格と不合格の合計数が含まれます。管理者アカウントの場合、標準のスコアと図は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。特定の重要度を持つコントロールの失敗したセキュリティチェックを確認するには、重要度を選択します。
標準を有効化すると、Security Hub CSPM はその標準に対して予備的なセキュリティスコアを生成します。これは通常、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ標準]** ページに初めてアクセスしてから約 30 分以内に生成されます。スコアは、これらのページにアクセスしたときに有効になっている標準に対してのみ生成されます。さらに、スコアが表示されるように AWS Config リソース記録を設定する必要があります。中国リージョン および では AWS GovCloud (US) Regions、Security Hub CSPM が予備スコアを生成するまでに最大 24 時間かかる場合があります。Security Hub CSPM が標準の予備スコアを生成した後、24 時間ごとにスコアを更新します。詳細については、「[セキュリティスコアの計算](standards-security-score.md)」を参照してください。
**セキュリティ標準**の詳細ページのすべてのデータは、集約リージョンを設定 AWS リージョン しない限り、現在の に固有です。集約リージョンを設定している場合、セキュリティスコアは複数リージョンにまたがって適用され、リンクされたすべてのリージョンの検出結果がスコアに含まれます。加えて、コントロールのコンプライアンスステータスにはリンクされたリージョンの検出結果も反映され、セキュリティチェックの数にはリンクされたリージョンの検出結果が含まれます。
## 標準のコントロールの確認
AWS Security Hub CSPM コンソールを使用して、有効にした標準の詳細を確認すると、標準に適用されるセキュリティコントロールの表を確認できます。この表には、各コントロールについて以下の情報が含まれています。
+ コントロール ID とタイトル。
+ コントロールのステータス。詳細については、「[コンプライアンスステータスとコントロールステータスの評価](controls-overall-status.md)」を参照してください。
+ コントロールに関連付けられた重要度。
+ チェックの合計数および失敗したチェックアウトの数。該当する場合は、**[Failed checks]** (不合格になったチェック) フィールドに、ステータスが **[Unknown]** (不明) の検出結果の数も指定されます。
+ コントロールがカスタムパラメータをサポートしているかどうか。詳細については、「[Security Hub CSPM のコントロールパラメータについて](custom-control-parameters.md)」を参照してください。
Security Hub CSPM では 24 時間ごとにコントロールステータスとセキュリティチェック数が更新されます。ページ上部のタイムスタンプは、Security Hub CSPM がこのデータを最後に更新した日時を示します。
管理者アカウントの場合、コントロールのステータスとセキュリティチェック数は、管理者アカウントとメンバーアカウントの両方を合わせて集計されます。有効なコントロールの数は、管理者アカウントまたは 1 つ以上のメンバーアカウントの標準で有効になっているコントロールが含まれています。無効はコントロールの数は、管理者アカウントまたはすべてのメンバーアカウントの標準で無効になっているコントロールが含まれています。
標準に適用されるコントロールのテーブルをフィルタリングできます。表の横にある **[フィルター条件]** オプションを使用して、標準で有効または無効にされたコントロールのみを表示するように選択できます。有効なコントロールのみを表示する場合は、コントロールステータスでテーブルをさらにフィルタリングできます。その後、特定のコントロールステータスを持つコントロールに集中できます。**[フィルター条件]** オプションに加えて、**[フィルターコントロール]** ボックスにフィルター基準を入力できます。例えば、コントロール ID またはタイトルでフィルタリングできます。
任意のアクセス方法を選択します。次に、ステップに従って、有効にした標準に適用されるコントロールを確認します。
------
#### [ Security Hub CSPM console ]
**有効な標準のコントロールを確認するには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで、**[セキュリティ基準]** を選択します。
1. 標準のセクションで、**[結果の表示]** を選択します。
ページの下部にあるテーブルに、標準に適用されるすべてのコントロールが一覧表示されます。テーブルのフィルタリングおよびソートを行うことができます。テーブルの現在のページを CSV ファイルとしてダウンロードすることもできます。これを行うには、テーブルの上の **[ダウンロード]** を選択します。テーブルをフィルタリングした場合、ダウンロードされたファイルには、現在のフィルター設定に一致するコントロールのみが含まれます。
------
#### [ Security Hub CSPM API ]
**有効な標準のコントロールを確認するには**
1. Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) オペレーションを使用します。を使用している場合は AWS CLI、[list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html) コマンドを実行します。
コントロールを確認する標準の Amazon リソースネーム (ARN) を特定します。標準の ARN を取得するには、[DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) オペレーションを使用するか、[describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html) コマンドを実行します。標準の ARN を指定しない場合、Security Hub CSPM はすべてのセキュリティコントロール ID を返します。
1. Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)オペレーション、または [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) コマンドを実行します。このオペレーションは、コントロールが有効になっている標準を示します。
セキュリティコントロール ID または ARN を指定してコントロールを特定します。ページ分割パラメータはオプションです。
次の例では、Config.1 コントロールが有効になっている標準を示します。
```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```
------
# 自動的に無効化されるセキュリティ標準
組織は、中央設定を使用しない場合は、*ローカル設定*と呼ばれる設定タイプを使用します。ローカル設定を使用すると、 AWS Security Hub CSPM は、新しいメンバーアカウントが組織に参加したときに、そのメンバーアカウントにデフォルトのセキュリティ標準を自動的に有効化することができます。これらのデフォルト標準に適用されるすべてのコントロールも、自動的に有効化されます。
現在、デフォルトのセキュリティ標準は AWS 、 Foundational Security Best Practices 標準と Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 標準です。これらのスタンダードの詳細については、「[Security Hub CSPM 標準リファレンス](standards-reference.md)」を参照してください。
新しいメンバーアカウントのセキュリティ標準を手動で有効にする場合は、デフォルトの標準の自動有効化をオフにできます。これは、 と統合 AWS Organizations してローカル設定を使用する場合にのみ実行できます。中央設定を使用する場合は、代わりにデフォルトの標準を有効にする設定ポリシーを作成し、このポリシーをルートに関連付けることができます。その後、組織アカウントと OU は、別のポリシーに関連付けられている場合やセルフマネージドの場合を除き、すべてこの構成ポリシーを継承します。と統合しない場合 AWS Organizations、Security Hub CSPM 以降を最初に有効にするときに、デフォルトの標準を無効にすることができます。この方法の詳細は、「[セキュリティ標準の無効化](disable-standards.md)」を参照してください。
新しいメンバーアカウントのデフォルト標準の自動有効化を無効にするには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用できます。
------
#### [ Security Hub CSPM console ]
Security Hub CSPM コンソールを使用してデフォルトの標準の自動有効化を無効にするには、次の手順に従います。
**デフォルト標準の自動有効化をオフにするには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインの **[設定]** で **[設定]** を選択します。
1. **[概要]** セクションで **[編集]** を選択します。
1. **[新しいアカウント設定]** で、**[デフォルトのセキュリティ標準を有効にする]** チェックボックスをオフにします。
1. **[確認]** を選択します。
------
#### [ Security Hub CSPM API ]
デフォルトの標準の自動有効化をプログラムで無効にするには、Security Hub CSPM 管理者アカウントから、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) オペレーションを使用します。リクエストで、`AutoEnableStandards` パラメータを `NONE` として指定します。
を使用している場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) コマンドを実行して、デフォルトの標準の自動有効化をオフにします。`auto-enable-standards` パラメータでは、`NONE` を指定します。たとえば、次のコマンドは、新しいメンバーアカウントに対して Security Hub CSPM を自動的に有効にし、アカウントのデフォルト標準の自動有効化をオフにします。
```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```
------
# セキュリティ標準の無効化
AWS Security Hub CSPM でセキュリティ標準を無効にすると、以下が発生します。
+ その標準に適用されるすべてのコントロールは、現在有効な別の標準に関連付けられている場合を除き、無効になります。
+ 無効化されたコントロールに対するセキュリティチェックは行われなくなり、無効化されたコントロールについて新しい検出結果が追加で生成されることもありません。
+ 無効化されたコントロールの既存の検出結果は、約 3~5 日後に自動的にアーカイブされます。
+ AWS Config 無効化されたコントロール用に Security Hub CSPM が作成した ルールは削除されます。
通常、適切な AWS Config ルールの削除は、標準を無効にしてから数分以内に行われます。ただし、時間がかかる場合があります。ルール削除の最初のリクエストが失敗した場合、Security Hub CSPM は 12 時間ごとに再試行します。ただし、Security Hub CSPM を無効にした場合、または他の標準を有効にしていない場合、Security Hub CSPM は再試行できません。つまり、ルールは削除できません。これが発生し、ルールを削除する必要がある場合は、 にお問い合わせください AWS サポート。
**Topics**
+ [
## 複数のアカウントで標準を無効にする AWS リージョン
](#disable-standards-central-configuration)
+ [
## 1 つのアカウントで標準を無効にする AWS リージョン
](#securityhub-standard-disable-console)
## 複数のアカウントで標準を無効にする AWS リージョン
複数のアカウントおよび でセキュリティ標準を無効にするには AWS リージョン、[中央設定](central-configuration-intro.md)を使用します。中央設定を使用すると、Security Hub CSPM 委任管理者は、1 つ以上の標準を無効化する Security Hub CSPM の設定ポリシーを作成できます。管理者は、その後、設定ポリシーを個々のアカウント、組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、*集約リージョン*とも呼ばれるホームリージョンおよびすべてのリンクされたリージョンに影響します。
設定ポリシーではカスタマイズオプションが可能です。たとえば、1 つの OU で Payment Card Industry Data Security Standard (PCI DSS) を無効にすることを選択できます。別の OU では、PCI DSS と米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5 標準の両方を無効にすることができます。指定した個々の標準を有効または無効にする設定ポリシーの作成については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。
**注記**
Security Hub CSPM 管理者は、[AWS Control Tower サービスマネージド標準](service-managed-standard-aws-control-tower.md)を除く任意の標準を、設定ポリシーを使って無効にできます。この標準を無効にするには、管理者が AWS Control Tower を直接使用する必要があります。また、 を使用して AWS Control Tower 、一元管理されたアカウントのこの標準の個々のコントロールを無効または有効にする必要があります。
一部のアカウントで自分のアカウントの標準を設定または無効にする場合、Security Hub CSPM 管理者はそれらのアカウントを*セルフ管理アカウント*として指定できます。セルフマネージドアカウントは、リージョンごとに標準を個別に無効にする必要があります。
## 1 つのアカウントで標準を無効にする AWS リージョン
中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントまたは AWS リージョンでセキュリティ標準を一元的に無効にすることはできません。ただし、1 つのアカウントおよびリージョンで標準を無効にすることができます。これは、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して実行できます。
------
#### [ Security Hub CSPM console ]
Security Hub CSPM コンソールを使用して、1 つのアカウントとリージョンで標準を無効にするには、次の手順に従います。
**1 つのアカウントおよびリージョンで標準を無効にするには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ページの右上隅にある AWS リージョン セレクターを使用して、標準を無効にするリージョンを選択します。
1. ナビゲーションペインで、**[セキュリティ標準]** を選択します。
1. 無効化したい標準のセクションで、**[標準を無効化]** を選択します。
追加のリージョンで標準を無効化するには、追加のリージョンごとに前のステップを繰り返します。
------
#### [ Security Hub CSPM API ]
1 つのアカウントとリージョンで標準をプログラムで無効にするには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html) オペレーションを使用します。または、 AWS Command Line Interface (AWS CLI) を使用している場合は、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html) コマンドを実行します。
リクエストで、`StandardsSubscriptionArns` パラメータを使用して、無効にする標準の Amazon リソースネーム (ARN) を指定します。を使用している場合は AWS CLI、 `standards-subscription-arns`パラメータを使用して ARN を指定します。また、リクエストが適用されるリージョンも指定します。たとえば、次のコマンドは、アカウント (*123456789012*) AWS の Foundational Security Best Practices (FSBP) 標準を無効にします。
```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```
ここでは、*arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* は米国東部 (バージニア北部) リージョンのアカウントの FSBP 標準の ARN であり、*us-east-1* は無効にするリージョンです。
標準の ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) オペレーションを使用できます。このオペレーションは、アカウントで現在有効になっている標準に関する情報を取得します。を使用している場合は AWS CLI、[get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html) コマンドを実行してこの情報を取得できます。
------
標準を無効にすると、Security Hub CSPM は、アカウントと指定されたリージョンで標準を無効にするタスクの実行を開始します。これには、標準に適用されるすべてのコントロールの無効化が含まれます。これらのタスクのステータスをモニタリングするには、アカウントとリージョンの[標準のステータスを確認できます](enable-standards.md#standard-subscription-status)。