

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の Security Hub CSPM コントロール AWS Transfer Family
<a name="transfer-controls"></a>

これらの AWS Security Hub CSPM コントロールは、 AWS Transfer Family サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります
<a name="transfer-1"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Workflow`

**AWS Config rule:** `tagged-transfer-workflow` (カスタム Security Hub CSPM ルール)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目)  | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 |  No default value  | 

このコントロールは、 AWS Transfer Family ワークフローにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックします`requiredTagKeys`。ワークフローにタグキーがない場合、またはパラメータ `requiredTagKeys` で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ `requiredTagKeys` が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ワークフローにキーがタグ付けされていない場合は失敗します。自動的に適用され、`aws:` で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。

**注記**  
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、の[AWS 「リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)」を参照してください*AWS 全般のリファレンス*。

### 修正
<a name="transfer-1-remediation"></a>

**Transfer Family ワークフローにタグを追加するには (コンソール)**

1.  AWS Transfer Family コンソールを開きます。

1. ナビゲーションペインで、[**Workflows**] (ワークフロー) をクリックします。次に、タグ付けするワークフローを選択します。

1. [**タグ管理**] を選択してからタグを追加します。

## [Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください
<a name="transfer-2"></a>

**関連する要件:** NIST.800-53.r5 CM-7、NIST.800-53.r5 IA-5、NIST.800-53.r5 SC-8、PCI DSS v4.0.1/4.2.1

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::Transfer::Server`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、 AWS Transfer Family サーバーがエンドポイント接続に FTP 以外のプロトコルを使用しているかどうかをチェックします。サーバーがクライアントに FTP プロトコルを使用してサーバーのエンドポイントに接続すると、コントロールは失敗します。

FTP (File Transfer Protocol) は、暗号化されていないチャネルを介してエンドポイント接続を確立し、これらのチャネル経由で送信されたデータは傍受されやすくなります。SFTP (SSH File Transfer Protocol)、FTPS (File Transfer Protocol Secure)、または AS2 (適用可能性ステートメント 2) を使用すると、転送中のデータを暗号化することでセキュリティを強化できます。また、潜在的な攻撃者が中間者攻撃や類似の攻撃を使用してネットワークトラフィックを盗聴または操作するのを防ぐのに役立ちます。

### 修正
<a name="transfer-2-remediation"></a>

Transfer Family サーバーのプロトコルを変更するには、「*AWS Transfer Family ユーザーガイド*」の「[ファイル転送プロトコルの編集](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols)」を参照してください。

## [Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります
<a name="transfer-3"></a>

**関連する要件:** NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::Transfer::Connector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**スケジュールタイプ:** 変更がトリガーされた場合

**パラメータ :** なし

このコントロールは、 AWS Transfer Family コネクタで Amazon CloudWatch ログ記録が有効になっているかどうかをチェックします。コネクタで CloudWatch ログ記録が有効になっていない場合、このコントロールは失敗します。

Amazon CloudWatch は、 AWS リソースを含む AWS Transfer Family リソースを可視化するモニタリングおよびオブザーバビリティサービスです。Transfer Family では、CloudWatch は、ワークフローの進行状況と結果に関する統合監査とログ記録を提供します。これには、Transfer Family がワークフロー用に定義するいくつかのメトリクスが含まれます。Transfer Family を設定して、CloudWatch でコネクタイベントを自動的にログ記録できます。これを行うには、コネクタのログ記録ロールを指定します。ログ記録ロールには、IAM ロールと、ロールのアクセス許可を定義するリソースベースの IAM ポリシーを作成します。

### 修正
<a name="transfer-3-remediation"></a>

Transfer Family コネクタの CloudWatch ログ記録を有効にする方法については、「*AWS Transfer Family ユーザーガイド*」の「[Amazon CloudWatch logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html)」を参照してください。

## [Transfer.4] Transfer Family 契約にはタグを付ける必要があります
<a name="transfer-4"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Agreement`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family 契約に `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。契約にタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、契約にタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-4-remediation"></a>

 AWS Transfer Family 契約にタグを追加する方法については、[「 リソースのタグ付けとタグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。

## [Transfer.5] Transfer Family 証明書にはタグを付ける必要があります
<a name="transfer-5"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Certificate`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family 証明書に `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。証明書にタグキーがまったくない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーを持っていない場合、このコントロールは失敗となります。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、証明書にタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-5-remediation"></a>

 AWS Transfer Family 証明書にタグを追加する方法については、[「 リソースのタグ付け」および「タグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。

## [Transfer.6] Transfer Family コネクタにはタグを付ける必要があります
<a name="transfer-6"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Connector`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family コネクタに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。コネクタにタグキーがない場合、または `requiredKeyTags` パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、コネクタにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-6-remediation"></a>

 AWS Transfer Family コネクタにタグを追加する方法については、[「 リソースのタグ付けとタグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。

## [Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります
<a name="transfer-7"></a>

**カテゴリ:** 識別 > インベントリ > タグ付け

**重要度:** 低

**リソースタイプ :** `AWS::Transfer::Profile`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**スケジュールタイプ :** 変更がトリガーされた場合

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | [AWS 要件を満たす](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 1～6 個のタグキー。 | デフォルト値なし | 

このコントロールは、 AWS Transfer Family プロファイルに `requiredKeyTags`パラメータで指定されたタグキーがあるかどうかをチェックします。プロファイルにタグキーがない場合、またはパラメータ `requiredKeyTags` で指定されたすべてのキーがない場合、コントロールは失敗します。`requiredKeyTags` パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、プロファイルにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、`aws:` プレフィックスが付きます。コントロールは、ローカルプロファイルとパートナープロファイルを評価します。

タグは、 AWS リソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可で属性に基づいてアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。タグの詳細については、[「 AWS リソースのタグ付け」および「タグエディタユーザーガイド](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)」を参照してください。

**注記**  
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできます AWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。

### 修正
<a name="transfer-7-remediation"></a>

 AWS Transfer Family プロファイルにタグを追加する方法については、[「リソースのタグ付け」および「タグエディタユーザーガイド」の「リソースのタグ付け方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)* AWS *」を参照してください。